Microsoft keerde afgelopen 12 maanden 13,6 miljoen dollar aan bugbounty's uit

Microsoft heeft het afgelopen jaar binnen zijn zeventien bugbountyprogramma's in totaal 13,6 miljoen dollar uitgereikt. De hoogste beloning was tweehonderdduizend dollar. Een jaar eerder keerde Microsoft nog honderdduizend dollar meer uit.

Van 1 juli vorig jaar tot afgelopen 30 juni keerde Microsoft de omgerekend 11,5 miljoen euro uit. In totaal kregen 341 onderzoekers een geldbedrag. Samen stuurden deze onderzoekers 1261 kwetsbaarheidsrapporten op die in aanmerking kwamen voor een geldbedrag. Een jaar eerder waren het minder onderzoekers; het gemiddeld uitgekeerde gedrag is dus waarschijnlijk iets gedaald. Gemiddeld kreeg iedere onderzoeker meer dan tienduizend dollar per kwetsbaarheid, zegt Microsoft.

Het grootste bedrag werd uitgekeerd onder het Hyper-V-bountyprogramma. Microsoft zegt verder dit jaar nieuwe 'uitdagingen en scenario's' te hebben geïntroduceerd voor het belonen van beveiligingsonderzoek met de grootste impact op klanten. Op die manier kan Microsoft beter problemen ontdekken die de meeste impact hebben op klanten en krijgen onderzoekers hogere beloningen voor hun werk, stelt het bedrijf.

Microsoft Bug Bounty 2020-2021

Reacties (23)

Spinner 9 juli 2021 14:26

Gemiddeld 10.000 per report.
Zacht prijsje voor het duiden van een bug die potentieel MS in de miljoenen zou kunnen kosten.

Cergorach

Beveiliging en antivirus
Networking en security

@Spinner • 9 juli 2021 14:36

een bug die potentieel MS in de miljoenen zou kunnen kosten.

Niet in boetes.
Wellicht in potentiële verloren sales. Echter bekleed MS met zijn producten zo een 'unieke' positie dat in de praktijk eigenlijk niemand door bug/gaten dan toch maar geen MS producten koopt... Kijk eens naar de afgelopen twee jaar en de ronduit enge beveiligingsgaten in MS producten, wat voor impact heeft dat gehad op het gebruik van deze producten? Zo goed als niets. Hoogstens dat juist mensen van lokaal Exchange geheel zijn overgestapt op Exchange Online (Office 365), wat MS nog meer omzet oplevert...

MS moet het wel extreem bond maken wil het echt een impact hebben op hun omzet. Die $13.6 miljoen is effectief een marketing budget en wellicht dat dit zelfs een significante besparing is op eigen bughunters...

DeFeCt @Cergorach • 9 juli 2021 14:55

nieuws: Windows 10 Enterprise en Office voldoen nog niet aan privacyeisen van...
Dit heeft wel degelijk voor de nodige uitstellen gezorgd en heeft dus direct impact op de omzet van MSFT. Maar wellicht heb je een andere onderbouwing?

Verwijderd @DeFeCt • 9 juli 2021 15:11

Ik werk de hele dagen met Microsoft 365 en kan je garanderen dat helemaal niemand in de (lokale) overheid zich hier zorgen over maakt. Het is echt niet zo dat ze eeuwig op Windows 7 en Office 2010 kunnen blijven zitten...

Volgens mij was ik zelfs mailboxen aan het migreren voor een grote stad toen ik dit bericht las....

DeFeCt @Verwijderd • 9 juli 2021 15:35

De privacy officer waarmee ik samenwerkte op een ministerie maakte er toch aardig wat stampij over waardoor e.e.a. flink vertraging op liep

Verwijderd @DeFeCt • 9 juli 2021 15:48

Ieder ministerie, provincie en gemeente heeft zijn eigen ding natuurlijk maar de grote lokale gemeenten zijn volgens mij al lang over naar Office 365 (of gedeeltelijk al naar Exchange online / SharePoint Online). Ik zla geen namen noemen maar er genoeg voorbeelden te vinden op internet. Willekeurig voorbeeld:

https://www.explainit.nl/...epoint-online-office-365/
Tot de DOWR behoren de gemeente Deventer, gemeente Olst-Wijhe en gemeente Raalte.

DeFeCt @Verwijderd • 9 juli 2021 21:44

Ik ken indd ook genoeg gemeentes die op O365 draaien, ik reageerde alleen op

"Kijk eens naar de afgelopen twee jaar en de ronduit enge beveiligingsgaten in MS producten, wat voor impact heeft dat gehad op het gebruik van deze producten? Zo goed als niets."

Dat soort uitspraken vind ik nogal ongefundeerd en gaf een voorbeeld van een situatie waarin zeker wel keuzes worden uitgesteld.

_Pussycat_ @DeFeCt • 10 juli 2021 14:25

Maar die uitstel was vanwege privacy, niet vanwege bugs.

Cergorach

Beveiliging en antivirus
Networking en security

@DeFeCt • 9 juli 2021 15:28

Privacy eisen van de overheid is echt een heel ander verhaal dan de hier behandelde bug/security issues. Waar jij het over hebt is de info die MS opslurpt van de gebruikers en/of dat niet duidelijk is hoe iets precies gebeurt.

Spinner @Cergorach • 9 juli 2021 14:41

ronduit enge beveiligingsgaten in MS producten, wat voor impact heeft dat gehad op het gebruik van deze producten? Zo goed als niets.

Ik heb daar geen zicht op.
Reputatie schade leidt tot mindere verkopen, althans dat lijkt mij zo te zijn. Maar ik kan daar geen cijfers voor vinden anders dan groei of daling van markt aandeel met betrekking tot software van andere aanbieders.

CivLord

@Cergorach • 11 juli 2021 17:32

Kijk eens naar de afgelopen twee jaar en de ronduit enge beveiligingsgaten in MS producten, wat voor impact heeft dat gehad op het gebruik van deze producten? Zo goed als niets.

Misschien ook omdat alle alternatieve aanbieders van vergelijkbare softwarepakketten en diensten vergelijkbare 'enge' beveiligingsgaten heeft gehad. Ze worden niet allemaal even hard van de daken geschreeuwd door anderen en ze worden niet allemaal de fabrikant even hard aangerekend, maar in softwareland heeft geen enkele aanbieder een perfecte reputatie. (Alleen maar de schijn daarvan.)

Cergorach

Beveiliging en antivirus
Networking en security

@CivLord • 11 juli 2021 17:43

Yeah, dit is exact het probleem wat een hoop mensen zich niet realiseren. Het is niet alsof de concurrent 'beter' is en geen security issues heeft (gehad)...

L0g0ff

@Spinner • 9 juli 2021 14:32

Ligt natuurlijk wel aan het type bug. Een DoS is heel wat anders dan een remote code execution bijvoorbeeld

Iblies @Spinner • 9 juli 2021 15:04

Gemiddeld 10.000 per report.
Zacht prijsje voor het duiden van een bug die potentieel MS in de miljoenen zou kunnen kosten.

Het is een dilemma,

micrsoft zal niet met opzet slechte software verkopen,
bepaalde 0-days zullen misschien intern bekend zijn maar geen prioriteit krijgen,
eigen ontwikkelaars gaan op gegeven de eigen zwakheden niet meer zien,
andere bedrijven is ook geen garantie dat ze iets vinden,

een relatief klein programma laten lopen waar tekortkomingen aan het licht komen is wel een soort middenweg.

De praktijk is dat vb 0-days op zowel de grijze als zwarte markt veel geld kunnen opleveren. Je gaat daar niet tegen concurreren als legitiem bedrijf.

david-v

@Cergorach • 9 juli 2021 17:02

Er bestaat geen perfecte software, zeker niet software pakketten die veel functionaliteit hebben.

Voor perfecte software moet je namelijk kunnen aantonen dat het perfect is. Ik heb dat lang geleden nog moeten doen op de uni, en dat was echt een hels karwei (lees tijdrovend).

Bovendien kan iets perfect zijn op een bepaald moment, maar met de tijd wil je nieuwe functionaliteit. Software is iets "levends" wat met technologie en onze wensen groeit.

Perfecte software bestaat mi gewoonweg niet.

aikebah @david-v • 10 juli 2021 00:39

En dan heb je het nog enkel over perfecte software ten opzichte van de specificatie. Maar wie gaat aantonen dat de specficatie perfect is ten opzichte van de gewenste / niet-gewenste functionaliteiten.

Iblies @Cergorach • 9 juli 2021 15:55

Maar aan de andere kant als je schaamteloos versie x.x.x moet updaten omdat er weer iets niet schort aan de verkochte versie 👀 Je weet bij voorbaat dat er weer iets naar boven komt wat niet tijdens testen naar boven kwam.

ICT/software is de enigste branche die dat overigens kan uithalen. Als dat kleding/auto’s/huizen was, was je allang failliet,
van software accepteren we dat eigenlijk wel.

Nimja @Iblies • 9 juli 2021 16:41

Ja, want autos/kleding/huizen gaat nooit iets verkeerd en Segways zijn niet en-masse gevraagd voor een update omdat mensen op hun neus vielen.

Of de alom bekende Ford Pinto issues, waarbij het goedkoper was om mensen dood te laten branden

david-v

@Iblies • 9 juli 2021 17:04

Nou zeg je wat, elke stukje kleding, auto en al helemaal een huis heeft overal gebreken. De ene accepteer je als klant, de andere niet. Dus wat jij stelt is redelijk onzinnig.

erikdenv @Iblies • 9 juli 2021 18:56

Dat meen je toch niet serieus?

Voor allerhande producten zijn terugroepacties geweest.
Fietsen
Auto's (airbags veelvuldig
Huishoudelijke apparaten
Kijk hier eens:
"Terugroepacties - Radar - het consumentenprogramma van AVROTROS" https://radar.avrotros.nl...n/item/terugroepacties/#/

Falcon 9 juli 2021 14:14

Gezien het aantal producten die Microsoft heeft valt mij het totaal bedrag nog wel mee. Aantal reports valt mij ook wel tegen, al kan dat ook positief gezien worden.

Game-Freak

12 juli 2021 23:37

13,6 miljoen dollar uitgeven aan zeventien bugbountyprogramma's lijkt heel veel geld. Echter is dit bedrag natuurlijk peanuts als je kijkt naar de nettowinst van Microsoft.

Toch zijn deze bugbountyprogramma's van onschatbare waarde voor Microsoft als je ziet hoeveel vulnerability's er gevonden / aangekaart worden. Eigenlijk is het zelfs een 'koopje'

Microsoft wist over het gebroken boekjaar dat eindigde eind juni 2020 een totale winst van 44,28 miljard dollar te behalen op een omzet van 143 miljard dollar.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (23)

Sorteer op:

Weergave: