Microsoft keerde afgelopen 12 maanden 13,6 miljoen dollar aan bugbounty's uit

Microsoft heeft het afgelopen jaar binnen zijn zeventien bugbountyprogramma's in totaal 13,6 miljoen dollar uitgereikt. De hoogste beloning was tweehonderdduizend dollar. Een jaar eerder keerde Microsoft nog honderdduizend dollar meer uit.

Van 1 juli vorig jaar tot afgelopen 30 juni keerde Microsoft de omgerekend 11,5 miljoen euro uit. In totaal kregen 341 onderzoekers een geldbedrag. Samen stuurden deze onderzoekers 1261 kwetsbaarheidsrapporten op die in aanmerking kwamen voor een geldbedrag. Een jaar eerder waren het minder onderzoekers; het gemiddeld uitgekeerde gedrag is dus waarschijnlijk iets gedaald. Gemiddeld kreeg iedere onderzoeker meer dan tienduizend dollar per kwetsbaarheid, zegt Microsoft.

Het grootste bedrag werd uitgekeerd onder het Hyper-V-bountyprogramma. Microsoft zegt verder dit jaar nieuwe 'uitdagingen en scenario's' te hebben geïntroduceerd voor het belonen van beveiligingsonderzoek met de grootste impact op klanten. Op die manier kan Microsoft beter problemen ontdekken die de meeste impact hebben op klanten en krijgen onderzoekers hogere beloningen voor hun werk, stelt het bedrijf.

Microsoft Bug Bounty 2020-2021

Door Hayte Hugo

Redacteur

09-07-2021 • 14:05

23

Reacties (23)

Sorteer op:

Weergave:

Gemiddeld 10.000 per report.
Zacht prijsje voor het duiden van een bug die potentieel MS in de miljoenen zou kunnen kosten.
een bug die potentieel MS in de miljoenen zou kunnen kosten.
Niet in boetes.
Wellicht in potentiële verloren sales. Echter bekleed MS met zijn producten zo een 'unieke' positie dat in de praktijk eigenlijk niemand door bug/gaten dan toch maar geen MS producten koopt... Kijk eens naar de afgelopen twee jaar en de ronduit enge beveiligingsgaten in MS producten, wat voor impact heeft dat gehad op het gebruik van deze producten? Zo goed als niets. Hoogstens dat juist mensen van lokaal Exchange geheel zijn overgestapt op Exchange Online (Office 365), wat MS nog meer omzet oplevert...

MS moet het wel extreem bond maken wil het echt een impact hebben op hun omzet. Die $13.6 miljoen is effectief een marketing budget en wellicht dat dit zelfs een significante besparing is op eigen bughunters...
nieuws: Windows 10 Enterprise en Office voldoen nog niet aan privacyeisen van...
Dit heeft wel degelijk voor de nodige uitstellen gezorgd en heeft dus direct impact op de omzet van MSFT. Maar wellicht heb je een andere onderbouwing?
Ik werk de hele dagen met Microsoft 365 en kan je garanderen dat helemaal niemand in de (lokale) overheid zich hier zorgen over maakt. Het is echt niet zo dat ze eeuwig op Windows 7 en Office 2010 kunnen blijven zitten...

Volgens mij was ik zelfs mailboxen aan het migreren voor een grote stad toen ik dit bericht las....
De privacy officer waarmee ik samenwerkte op een ministerie maakte er toch aardig wat stampij over waardoor e.e.a. flink vertraging op liep
Ieder ministerie, provincie en gemeente heeft zijn eigen ding natuurlijk maar de grote lokale gemeenten zijn volgens mij al lang over naar Office 365 (of gedeeltelijk al naar Exchange online / SharePoint Online). Ik zla geen namen noemen maar er genoeg voorbeelden te vinden op internet. Willekeurig voorbeeld:

https://www.explainit.nl/...epoint-online-office-365/
Tot de DOWR behoren de gemeente Deventer, gemeente Olst-Wijhe en gemeente Raalte.
Ik ken indd ook genoeg gemeentes die op O365 draaien, ik reageerde alleen op

"Kijk eens naar de afgelopen twee jaar en de ronduit enge beveiligingsgaten in MS producten, wat voor impact heeft dat gehad op het gebruik van deze producten? Zo goed als niets."

Dat soort uitspraken vind ik nogal ongefundeerd en gaf een voorbeeld van een situatie waarin zeker wel keuzes worden uitgesteld.
Maar die uitstel was vanwege privacy, niet vanwege bugs.
Privacy eisen van de overheid is echt een heel ander verhaal dan de hier behandelde bug/security issues. Waar jij het over hebt is de info die MS opslurpt van de gebruikers en/of dat niet duidelijk is hoe iets precies gebeurt.
ronduit enge beveiligingsgaten in MS producten, wat voor impact heeft dat gehad op het gebruik van deze producten? Zo goed als niets.
Ik heb daar geen zicht op.
Reputatie schade leidt tot mindere verkopen, althans dat lijkt mij zo te zijn. Maar ik kan daar geen cijfers voor vinden anders dan groei of daling van markt aandeel met betrekking tot software van andere aanbieders.
Kijk eens naar de afgelopen twee jaar en de ronduit enge beveiligingsgaten in MS producten, wat voor impact heeft dat gehad op het gebruik van deze producten? Zo goed als niets.
Misschien ook omdat alle alternatieve aanbieders van vergelijkbare softwarepakketten en diensten vergelijkbare 'enge' beveiligingsgaten heeft gehad. Ze worden niet allemaal even hard van de daken geschreeuwd door anderen en ze worden niet allemaal de fabrikant even hard aangerekend, maar in softwareland heeft geen enkele aanbieder een perfecte reputatie. (Alleen maar de schijn daarvan.)
Yeah, dit is exact het probleem wat een hoop mensen zich niet realiseren. Het is niet alsof de concurrent 'beter' is en geen security issues heeft (gehad)...
Ligt natuurlijk wel aan het type bug. Een DoS is heel wat anders dan een remote code execution bijvoorbeeld ;)
Gemiddeld 10.000 per report.
Zacht prijsje voor het duiden van een bug die potentieel MS in de miljoenen zou kunnen kosten.
Het is een dilemma,

micrsoft zal niet met opzet slechte software verkopen,
bepaalde 0-days zullen misschien intern bekend zijn maar geen prioriteit krijgen,
eigen ontwikkelaars gaan op gegeven de eigen zwakheden niet meer zien,
andere bedrijven is ook geen garantie dat ze iets vinden,

een relatief klein programma laten lopen waar tekortkomingen aan het licht komen is wel een soort middenweg.

De praktijk is dat vb 0-days op zowel de grijze als zwarte markt veel geld kunnen opleveren. Je gaat daar niet tegen concurreren als legitiem bedrijf.
Er bestaat geen perfecte software, zeker niet software pakketten die veel functionaliteit hebben.

Voor perfecte software moet je namelijk kunnen aantonen dat het perfect is. Ik heb dat lang geleden nog moeten doen op de uni, en dat was echt een hels karwei (lees tijdrovend).

Bovendien kan iets perfect zijn op een bepaald moment, maar met de tijd wil je nieuwe functionaliteit. Software is iets "levends" wat met technologie en onze wensen groeit.

Perfecte software bestaat mi gewoonweg niet.
En dan heb je het nog enkel over perfecte software ten opzichte van de specificatie. Maar wie gaat aantonen dat de specficatie perfect is ten opzichte van de gewenste / niet-gewenste functionaliteiten.
Maar aan de andere kant als je schaamteloos versie x.x.x moet updaten omdat er weer iets niet schort aan de verkochte versie 👀 Je weet bij voorbaat dat er weer iets naar boven komt wat niet tijdens testen naar boven kwam.

ICT/software is de enigste branche die dat overigens kan uithalen. Als dat kleding/auto’s/huizen was, was je allang failliet,
van software accepteren we dat eigenlijk wel.
Ja, want autos/kleding/huizen gaat nooit iets verkeerd en Segways zijn niet en-masse gevraagd voor een update omdat mensen op hun neus vielen.

Of de alom bekende Ford Pinto issues, waarbij het goedkoper was om mensen dood te laten branden
Nou zeg je wat, elke stukje kleding, auto en al helemaal een huis heeft overal gebreken. De ene accepteer je als klant, de andere niet. Dus wat jij stelt is redelijk onzinnig.
Dat meen je toch niet serieus?

Voor allerhande producten zijn terugroepacties geweest.
Fietsen
Auto's (airbags veelvuldig
Huishoudelijke apparaten
Kijk hier eens:
"Terugroepacties - Radar - het consumentenprogramma van AVROTROS" https://radar.avrotros.nl...n/item/terugroepacties/#/
Gezien het aantal producten die Microsoft heeft valt mij het totaal bedrag nog wel mee. Aantal reports valt mij ook wel tegen, al kan dat ook positief gezien worden.
13,6 miljoen dollar uitgeven aan zeventien bugbountyprogramma's lijkt heel veel geld. Echter is dit bedrag natuurlijk peanuts als je kijkt naar de nettowinst van Microsoft.

Toch zijn deze bugbountyprogramma's van onschatbare waarde voor Microsoft als je ziet hoeveel vulnerability's er gevonden / aangekaart worden. Eigenlijk is het zelfs een 'koopje' :)
Microsoft wist over het gebroken boekjaar dat eindigde eind juni 2020 een totale winst van 44,28 miljard dollar te behalen op een omzet van 143 miljard dollar.

Op dit item kan niet meer gereageerd worden.