Belgisch bugbountybedrijf wil met 21 miljoen euro uitbreiden naar Azië en VS

Het Belgische bugbountybedrijf Intigriti heeft een investering van 21 miljoen euro ontvangen. Het bedrijf wil het geld gebruiken om bugs sneller te vinden door automatisering, personeel aan te nemen en hackers te ondersteunen. Ook wil Intigriti uitbreiden naar de VS en Azië.

Intigriti wil de 21 miljoen euro die via de investeringsronde is binnengehaald gebruiken om de rapportering en validatie van kwetsbaarheden te versnellen. Volgens ethisch hacker en medevennoot bij Intigriti De Ceukelaire, is snelheid een van de meest belangrijke factoren in de strijd tegen cybercriminaliteit: "Je moet als ethisch hacker cybercriminelen steeds voor zien te zijn. Door nog meer in te zetten op automatisatie halen we de detectietijd naar beneden en geven we onze hackers meer ruimte voor het creatieve, menselijke aspect."

Het platform voor bug bounties wil uitbreiden naar de Verenigde Staten en Azië en het geld gebruiken om wereldwijd meer dan tweehonderd mensen in dienst te nemen, verspreid over de kantoren in het Verenigd Koninkrijk, Europa en Singapore. Verder is Intigriti van plan om 'de hackergemeenschap verder uit te bouwen en te ondersteunen om van hacken hun voltijds beroep te maken'. Hoe het bedrijf dit wil doen, meldt het nog niet.

Intigriti heeft naar eigen zeggen een netwerk van meer dan 50.000 ethische hackers wereldwijd. Die komen in aanmerking voor beloningen van 100 tot 100.000 euro per kwetsbaarheid die ze vinden en melden. Bedrijven kunnen zelf pentesters selecteren om aan individuele opdrachten te werken, binnen een vooraf overeengekomen tijdsbestek en op basis van een vergoeding die gebaseerd is op resultaat. In juni 2020 haalde Intigriti bij zijn eerste investeringsronde 4 miljoen euro op.

Personeel van Intigriti België

Door Olaf van Miltenburg

Nieuwscoördinator

Feedback • 26-04-2022 08:3821

26-04-2022 • 08:38

21 Linkedin

Lees meer

Belgische ethische hackers zijn niet meer strafbaar als ze bugs vinden en melden Nieuws van 15 februari 2023
Belgisch platform voor ethische hackers haalt 4 miljoen euro aan kapitaal op Nieuws van 25 juni 2020
Beveiliging en antivirus België Bugs Hackers

Reacties (21)

-Moderatie-faq
21
21
11
1
0
4
Wijzig sortering
AMD_Aero
26 april 2022 09:08
@dutchruler
Intigriti is een bugbounty platform. Het is niet zo dat de hackers (ook wel security researchers genoemd) op de pay-roll van intigriti staan.

Je moet het meer vergelijken met AirBnB. Iedereen kan bij intigriti registeren en kan zo impact maken.
Zo kan je als 'arme student' een mooi centje bijverdienen en veel kennis opscharen. Voor ons lijkt dit misschien evident in België & Nederland maar niet overal in de wereld is het zo gemakelijk. Dit terwijl er wel enorm veel talent is.

Ik heb BB (bugbounty) in levende lijve al zien werken en dat op plaatsen waar al jaren lang klassieke pentesten gedaan worden.

(Dit moest een reactie zijn ipv een nieuwe post, foutje van de firma)

[Reactie gewijzigd door AMD_Aero op 26 april 2022 09:12]

dutchruler
@AMD_Aero26 april 2022 09:50
Duidelijk. Dank je wel voor de uitleg :)
kowapanga
@AMD_Aero28 april 2022 02:10
Ik ben zelf full time bug bounty hunter en bij bijna alle programma's waar ik aan deelneem vind ik wel een kritieke bug.
Nu zijn de meeste programma's prive maar je moet denken aan de top van de top bedrijven waarvan sommige maandelijks dan niet wekelijks meerdere pentests runnen op hun producten en dan nog is het soms complete gaten kaas.
Er zijn gewoon teveel puppy mill pentest bedrijven die gewoon dik betaald krijgen voor het doorlopen van de OWASP pentest guide.
Waarin tegen een bug bounty hunter daad werkelijk iets moet vinden om goed betaald te krijgen en dus ook veel meer gemotiveerd is.

Voor sommige is het zeker onderbetaald werk want als je niks vind krijg je ook niks betaald maar als je weet wat je doet verdien je met gemak 3-4x wat een senior pentester verdiend per jaar.
Ik ben zelf voornamelijk actief op Bugcrowd en bijna alle programma's daar zijn Amerikaans dus je krijgt ook de Amerikaanse prijzen betaald (25-100k voor crits)
Yarisken
26 april 2022 09:29
Ik heb bij een groot bedrijf gewerkt waar een uitgebreide pentest plaatsvond voor de applicatie live mocht gaan.
Als je dan ziet wat er, eens live, nog van bugs gevonden worden door een platform als intigriti .... Een enorme meerwaarde voor heel de security sector !
DinX
@Yarisken26 april 2022 09:37
Klopt.
Die eenmalige pentesten zijn zeker niet slecht, maar het is maar een momentopname, gedaan door meestal 1 of 2 mensen van een security bedrijf met hun vaste tools en procedures.

Er hoeft een week later maar een kleine patch te gebeuren aan je site, app of software en je eerdere pentest kan al helemaal niet meer representatief zijn. Misschien 2 bugs die gevonden zijn in de pentest eruit en 5 nieuwe in de plaats.

Niet dat die occasionele audits niet belangrijk zijn, ze complementeren elkaar gewoon goed. Bij de "zware" geplande audits weet je wanneer en wat ze exact gaan doen dus kan je bepaalde tresholds hoger zetten (meer requests per seconde, al dan niet social engineering,...)

[Reactie gewijzigd door DinX op 26 april 2022 09:42]

fiammybe
@Yarisken26 april 2022 10:04
Dat klopt helemaal. Pentests zijn in de meeste gevallen nogal procedurematig : er is een lijst van kwetsbaarheden waarop je test, en die lijst wijzigt niet veel. Ethical hackers voegen daar een vleugje creativiteit aan toe, waardoor je heel wat out of the box testen bijkrijgt.

En die Ethical hackers maken de laatste jaren gebruik van platformen zoal Integriti of het meer bekende Hackerone, die platformen maken het makkelijker om in contact te komen met bedrijven of open source projecten die openstaan voor dit soort tests.
dutchruler
26 april 2022 08:49
Blijft weinig ethiek zo van over.
Feitelijk zijn het dus gewoon IT consultants die ingehuurd kunnen worden om de beveiliging van een bedrijf of hun software te testen.

Uiteraard met geheimhoudingsverklaring en bepaalde afdrachten naar intigriti. Met veel regeltjes over hoe dingen gedocumenteerd moet worden ( de feitelijke deliverables)

Of ben ik gewoon pessimistisch? :*)
RedPixel
@dutchruler26 april 2022 08:52
Ethische hackers worden ethisch genoemd omdat ze geen misbruik maken van de beveiligingslekken die ze vinden, maar ze netjes melden. Dat is gewoon veel werk waar ze voor betaald worden.
pietje63
@RedPixel26 april 2022 09:08
Toch moet ik zelf bij ethische hackers denken aan mensen die het hobbymatig doen. Maar de vraag is misschien meer wat een hacker is. Is iedereen die in opdracht een pentest uitvoert een hacker? Voor mijn gevoel ben je dat als je dit ongevraagd uitvoert, en ben je een ethische hacker als je geen misbruik maakt van de gevonden beveiligingslekken.
DinX
@pietje6326 april 2022 09:23
In dit geval is er toch helemaal geen probleem dat ze dit hobbymatig doen?

Wij maken ook gebruik van Intigriti voor het testen van onze (publiek bereikbare) apps, applicaties en websites en zijn daar (voor zover ik weet) best tevreden van.

Je kan zeer duidelijk de scope afspreken, de bedragen, de technische zaken, wat ze wel en niet mogen,...

Waar je bij de gemiddelde pentest een bedrijf inhuurt die een paar consultants met enkele dure tools loslaten voor x aantal dagen kan je bij Intigriti langlopende testen laten doen, door veel meer verschillende mensen.

Bij zo'n pentest/audit ben je al snel duizenden euro's kwijt voor enkele dagen consultancy en rapportering, bij Intigriti gewoon een afgesproken bedrag per bug die ze vinden. Daar kan je dan nog prijscategorieën in maken afhankelijk van hoe ernstig ze zijn.

En die mensen mogen gerust de 18-jarige student IT op de zolderkamer zijn die het vroeger als hobby deed, en nu nog maar dan met de kans er wat aan te verdienen. Het zijn vaak die lui die er beter in zijn dan de gemiddelde audit firma.

En daar zit dus een bont allegaartje tussen ja. Van de hobbyist tot de professionals die nog even buitenuit klussen.

Binnen België is Intigriti alleszins zeer groot met klanten als DPG, Vlaamse Overheid,VRT, KU Leuven, Nexuzhealth, Randstad, Brussels Airlines,...

Een voorbeeld van degene die nu op 1 in de rankings staat: https://app.intigriti.com/profile/isira_adithya

Gewoon een 17-jarige kerel uit Sri Lanka, maar wel super in hetgeen hij doet. Het zijn al niet de kleinste partijen waar hij bugs vindt.

[Reactie gewijzigd door DinX op 26 april 2022 09:32]

AntiSpam
@RedPixel26 april 2022 15:04
Als ik elke dag je ramen en deuren kom controleren, pleeg ik een poging delict.
RedPixel
@AntiSpam26 april 2022 15:15
Niet als ik je toestemming heb gegeven, wat hier ook zo is.
AntiSpam
@RedPixel26 april 2022 15:24
Bug bounty is niet met toestemming vooraf..... Zou er een bug bounty programma overblijven
RedPixel
@AntiSpam26 april 2022 15:29
Ik snap niet wat je zegt, maar bug bounty zoals bij Intigriti, HackerOne en andere grote partijen zijn altijd met toestemming vooraf, anders is het nog altijd illegaal.
AntiSpam
@RedPixel26 april 2022 23:25
Verdiep je er eens in.

Softwareontwikkelaars geven geen toestemming aan individuele researchers die in een moderne slavernij business model zitten.
Orangelights23
@dutchruler26 april 2022 09:05
Volgens mij heb je geen goed beeld bij ethisch hackers. En het zijn zeker geen IT consultants.

Dat zijn zogeheten white hat hackers die op eigen initiatief, of ingehuurd door een organisatie, kwetsbaarheden opzoeken in software, infrastructuur en websites. Dit kun je onder andere via HackerOne en Intigriti doen, waarbij organisaties zich kunnen aanmelden bij dit programma. De ethisch hacker moet volgens een gestructureerde wijze rapporteren, wat dus vooral bruikbaar is voor de organisatie waar de kwetsbaarheid bij gevonden is, zodat de kwetsbaarheid goed opgepakt kan worden. Als dit zonder regels gedaan zou worden, bijvoorbeeld een ethisch hacker die net een stap te ver gaat en hierdoor inzicht krijgt in persoonlijke gegevens, in plaats van aantoonbaar maken dat hij toegang heeft tot een database, zou dat voor zowel de ethisch hacker als de organisatie tot boetes kunnen leiden. Been there, done that.

Ik ben CISO van een organisatie en wij maken sinds een paar maanden zeer tevreden gebruik van HackerOne. Dit is vele malen goedkoper dan het uitvoeren van een periodieke penetratie test, welke al gauw 20K kostte en waarbij de bevindingen niet heel interessant zijn. Ik betaal liever een ethisch hacker, via HackerOne of Intigriti, 10K voor het vinden van 1 kritieke kwetsbaarheid dan een rapport met niet zulke interessante bevindingen.
LeonM
@dutchruler26 april 2022 12:10
> Feitelijk zijn het dus gewoon IT consultants die ingehuurd kunnen worden om de beveiliging van een bedrijf of hun software te testen.

Dit is min of meer wel mijn ervaring met bug-bounty programma's.

Ik heb tijdens de eerste COVID lockdown een tijd bugbounties onderzocht (niet via Intigirti, maar ander platform). Het is leuk om te doen, en uiterst leerzaam, maar naar mijn ervaring is het uiteindelijk niet veel anders dan een (zeer onderbetaalde) vorm van consulting.

Als ik kijk naar de hoeveelheid tijd die in het vinden, en met name rapporteren van een bug gaat, dan is het vaak niet de moeite waard om te doen. Althans niet voor Nederlands inkomen niveau.

Bovendien was het ook vaak gokken. Je hebt geen idee hoe je bugreport gewaardeerd gaat worden, dus hoeveel de bounty uiteindelijk waard zal zijn. Je word door kleinere partijen ook vaak opgelicht, dus een bug wordt vaak ondergewaardeerd (lage payout) of zelfs bestempelt als 'niet relevant' (geen payout). Vervolgens zie je dat de bug wel snel gefixed word, dus blijkbaar toch wel ernstig was. En uiteraard heb je een NDA, dus je kan niks publiceren. Dat kan zeer frustrerend zijn.

Voor mij was het dus een hobby om iets te doen te hebben tijdens de lockdown. Van de bounties heb ik uiteindelijk mezelf wat hardware cadeau gedaan. Ik was dus zelf niet financieel afhankelijk van bug bounties, en zou ook niet in zo'n situatie willen zitten. Het is heel moeilijk om consistent geld te verdienen met bounties. Als je echt heel goed bent, en er wel een stabiel inkomen uit weet te halen, dan kan je waarschijnlijk veel meer verdienen als regulier security consultant.
Orangelights23
@LeonM26 april 2022 12:36
Volgens mij heb je naar verkeerde elementen gekeken. Een paar collega's uit mijn team werken 4 dagen per week, 1 dag per week zijn ze bezig met bug bounties. Some hebben ze een paar maanden niets, soms hebben ze opeens een klapper te pakken van 20K, met uitschieters tot 50K.

En buy bounties maken zeker geen gebruik van consultants. Een consultant geeft advies, een ethisch hacker vindt kwetsbaarheden. Twee compleet andere werelden.
LeonM
@Orangelights2326 april 2022 15:21
Een consultant geeft advies, een ethisch hacker vindt kwetsbaarheden. Twee compleet andere werelden.
Dat is een beetje hoe je het zelf definieert denk ik. In mijn ervaring is een security (bug) report een advies over een kwetsbaarheid waar de developer niet van op de hoogte was, dus dat zou volgens uw definitie dus wel degelijk een consultant zijn.
Orangelights23
@LeonM26 april 2022 15:25
Een rapport van een ethisch hacker bestaat uit de bevinding, de PoC en een high-level advies (bijvoorbeeld schakel X uit). Dus een ethisch hacker geeft een zeer beperkt advies en is om die reden al niet gelijk te stellen aan een consultant.

Meer dan dat kan hij ook niet geven als advies, want de ethisch hacker heeft verder geen idee wat betreft de infrastructuur en kan om die reden niets meer geven dan alleen het advies om de kwetsbaarheid zelf aan te pakken. Maar zaken zoals het zelf vinden van kwetsbaarheden, identificeren van dergelijke misconfiguraties tijdens risico assessments, reactietijden op ontdekte kwetsbaarheden, ga zo maar door, dat zijn zaken waar een consultant wat over schrijft, niet een ethisch hacker.
AntiSpam
@LeonM26 april 2022 15:03
Het is moderne slavernij.

En bedrijven en organisaties moeten de keerzijde begrijpen want als mensen hier of daar maar 10.000 krijgen voor hun 1000 uur tijd dan zullen vroeg of laat mensen hun "find" ook wel voor veel meer willen verkopen aan minder ethische partijen (zoals overheden en tussen personen)

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee