Microsoft gaat bugbounty's uitkeren voor kwetsbaarheden in thirdpartysoftware

Microsoft gaat in de toekomst ook bugbounty's betalen als hackers kwetsbaarheden vinden in thirdpartysoftware. Als die software risico's oplevert voor Microsoft-producten, kunnen onderzoekers daar geld voor krijgen - mits die diensten niet ook een eigen bugbounty hebben.

Microsoft kondigde die veranderingen aan tijdens securityconferentie Black Hat Europe. Het bedrijf gaat zijn bugbountyprogramma in zijn geheel anders vormgeven, met een principe dat het 'In Scope by Default' noemt. Dat betekent dat alle onlinediensten van Microsoft standaard binnen de scope van Microsofts eigen bugbountyprogramma vallen.

Voorheen had het bedrijf een bugbountyprogramma waarbij iedere dienst en iedere software een eigen scope had. Die hadden allemaal eigen beperkingen. "Onze nieuwe aanpak breidt het programma zodanig uit dat alle online diensten standaard toe worden gelaten", zegt Microsoft. "Dat betekent ook dat nieuwe diensten direct binnen het bugbountyprogramma vallen zodra ze uit zijn."

Opvallender is dat Microsoft bugbounty's gaat uitbetalen voor thirdpartysoftware. Het gaat om software waardoor Microsofts online diensten worden getroffen. Daar vallen opensourcesoftwareprojecten ook expliciet onder, benadrukt het bedrijf. Maar Microsoft maakt wel een belangrijke kanttekening. Het bedrijf keert de beloning alleen uit als de softwaremaker zelf niet ook al een bugbountyprogramma heeft.

Microsofts aanpak is niet helemaal uniek. Google begon in 2013 al met het uitkeren van beloningen voor bugs in opensourcesoftware, zij het in beperkte mate. Andere grote techbedrijven, zoals Apple of Meta, doen dat echter nog niet.

Reacties (19)

FrostyPeet 14 december 2025 13:36

Vind dit wel een glijdende schaal.

"Hacken" of het "vinden van kwetsbaarheden" is een verdienmodel geworden. Niemand gaat nog uit idealisme een "bug" melden als er (overal) potentieel geld geboden wordt.

Het motiveert mensen ook om maar rond te poken. Misschien vinden ze wel iets wat geld waard is.

Het zorgt er ook voor dat mensen in arme landen dit extra motiveert. Geen Nederlander gaat voor 2000 euro een half jaar "poken" in een pakket. Maar voor iemand uit een arm land kan dit een paar maanden inkomen opleveren.

Het zal ook bij MS veel ongewenst verkeer op hun systemen opleveren, want ja, ze bieden geld. Dus gaan met Wireshark en debuggers, AI prompt hacking, port probing etc.

Het ironische is, als de Amerikaanse overheid hen beveelt, zal MS gewoon alles overhandigen wat ze hebben. Dus ja, hoe veilig is het dan?

themadone @FrostyPeet • 14 december 2025 13:40

Stel je vind het leuk om een beetje te proberen software bugs te vinden, maar je moet daarnaast een normale baan aanhouden omdat iedereen verwacht dat je het maar gratis deelt.

Dan is dit juist een mooie oplossing om betaald te krijgen voor werk wat je leuk vind.

FrostyPeet @themadone • 14 december 2025 13:56

Als jij het leuk vind om een paar uur bugs te zoeken, kan ik mij voorstellen dat je die tijd dan besteed aan een project wat mogelijk geld oplevert. Helemaal als je er goed in bent ontstaat de economische afweging. Bug hunten bij een gratis open source project of dezelfde energie in een project wat mogelijk een leuk bedrag oplevert?

kristofv @FrostyPeet • 14 december 2025 19:24

Heel ander gegeven. Design/implementatie van een design vs testen van een design.

Het is een veld dat , bijna, een bepaald type persoonlijkheid vereist om er echt goed in te zijn, die persoonlijkheid overlapt niet al te goed met "een product lanceren".

Ik zie het een beetje als schaken in die zin, het is dezelfde mindset op veel manieren. Buiten Magnus Carlssen misschien is dat nu ook niet het meest sociale publiek ;-)

Oon @themadone • 15 december 2025 04:32

Ik weet niet welke bedragen Microsoft uitbetaalt, maar de meeste bugbountyprogramma's kun je echt alleen van leven als je aan de lopende band CVE's vindt. Als je op 2 per week zit kun je je skills beter in loondienst inzetten of gaan freelancen als security consultant, en omdat de meeste voor de hand liggende issues in grote software al afgedekt zijn moet je er echt wel wat uren in stoppen.

Blokker_1999

Microsoft
Beveiliging en antivirus

@FrostyPeet • 14 december 2025 13:41

Maar je moet bijna wel, want wat gaat men anders doen? Het melden bij de maker? of verkopen aan criminelen die er geld voor willen geven? Als je er aan wenst te verdienen, dan kies je voor optie 2 als de makers geen bug bounty programma hebben.

Daarnaast zijn vele basale fouten gewoon eenvoudig te vermijden vandaag de dag, waardoor je soms weken of maanden aan het zoeken bent naar een mogelijkheid om iets te misbruiken. Als je daar dan aan kunt verdienen, dan wil je dat ook gewoon doen.

Sebazzz

@FrostyPeet • 14 december 2025 14:16

Het zorgt er ook voor dat mensen in arme landen dit extra motiveert. Geen Nederlander gaat voor 2000 euro een half jaar "poken" in een pakket. Maar voor iemand uit een arm land kan dit een paar maanden inkomen opleveren.

Op dit moment komt daar een grote influx van AI gegenereerde bounty reports ook vandaan. Gemakkelijk te maken, maar kost een hoop tijd aan de kant van de maintainers.

gixslayer @FrostyPeet • 14 december 2025 14:23

Ik zie het probleem niet zo. Als er daadwerkelijk een kwetsbaarheid in een systeem zit, dan is het toch helemaal prima als er (veel) mensen naar kijken en er iemand in slaagt het te vinden, zolang dit dan gemeld wordt bij de vendor/developer? Wat is het alternatief, niet betalen, dreigen met rechtszaken?

Het is duidelijk dat criminelen, en zeker ook nation states, grof geld over hebben voor exploits (met een beetje impact dan). Je hebt genoeg grijze/zwarte marken waar je de boel dan kan verkopen, al weet je dat er waarschijnlijk weinig goeds mee gaat gebeuren. Als je als Microsoft daar een redelijk bug bounty programma tegenover zet dan heb je als hacker een mooi legaal pad waar je ook nog wat aan kan verdienen, en moreel wellicht wat eenvoudiger is te verdragen. De financiële incentive is er al, het doel met een bug bounty is om het om te buigen zodat het aan je wordt gemeld i.p.v. door te verkopen aan shady andere partijen. Het is echt niet zo dat iedere hacker dan vervolgens aan de hoogste bieder gaat verkopen; legaliteit en moraliteit/ethiek zijn ook gewoon factoren hierin, maar je probeert natuurlijk het aantrekkelijker te maken om het 'juiste' te doen.

Wat ongewenst verkeer etc betreft: natuurlijk moet een ethisch hacker zich binnen bepaalde kaders gedragen. Je moet niet domweg veel verkeer pompen naar een service die vervolgens daarom omvalt, en als je een exploit weet te maken (of vulnerability vindt), dan moet je dit netjes melden middels responsible disclosure, en niet verder inzetten om bijvoorbeeld nog verder in een systeem te komen, of data ermee uit te trekken etc. Ook de AI slop spam is natuurlijk niet hoe het hoort, waar bijvoorbeeld curl veel mee te maken had/heeft.

Zolang het enigszins binnen kaders valt zou ik alleen maar mensen aanmoedigen om kwetsbaarheden te vinden. Dit niet doen voelt een beetje als dat (wat mij betreft invalide) argument dat closed source software "veiliger" zou zijn dan open source. Aanvallers kijken toch wel naar je spul, liever dat de "good guys" het ook doen.

TheVivaldi @gixslayer • 14 december 2025 20:17

Ik zie het probleem ook niet zo. Het is toch niet meer dan beleefd om een vergoeding te geven? Als ik weg zou gaan en de deur open hebben laten staan, en de buurvrouw belt mij op om dat te melden, dan zou ik later ook een kleinigheidje voor haar kopen als dank. Met kwetsbaarheden in software zie ik dat net zo.

Olaf van der Spek @FrostyPeet • 14 december 2025 16:20

"Hacken" of het "vinden van kwetsbaarheden" is een verdienmodel geworden. Niemand gaat nog uit idealisme een "bug" melden als er (overal) potentieel geld geboden wordt.

Het is dan (eigenlijk) ook gewoon werk..

Floort

@FrostyPeet • 14 december 2025 20:21

Er zijn allerlei redenen waarom mensen beveiligingslekken ontdekken. Soms worden ze zelfs ontdekt zonder bewust te zoeken. En ook de behoefte om te melden zal er altijd wel blijven, met of zonder beloning. Wel zie ik ontwikkelingen die ik problematisch vindt.

Hoewel het op zich positief is om mensen te belonen die nuttige dingen doen, zoals bugs melden, wordt het riskant als het verschuift richting een baan. De meest bug bounty platformen presenteren zich graag met de enorme uitschieters van grote beloningen, maar als ik kijk naar het gemiddelde dan kom ik uit op voornamelijk een gebrek aan transparantie en waar ik wel data kan vinden een vergoeding van tussen de $0.10 en $0.18 per uur. Koppel dat met het ontbreken transparantie en rechten die een normale werknemer zou hebben voor de hackers die meedoen, dan is dat een recept voor uitbuiting. Ik geloof dat MS het wat dat betreft wel wat beter doet dan de bug bounty platformen over het algemeen, maar als je het over de glijdende schaal hebt, houdt hier dan rekening mee.

Daarnaast zie ik ook dat het steeds normaler is dat bedrijven alleen nog meldingen accepteren via bug bounties. Ook als de melder gewoon wil melden zonder ergens aan vast te zitten maar aleen wil dat het wordt opgelost. Je hebt tegenwoordig steeds vaker geen optie om te melden zonder een geheimhoudingsovereenkomst aan te gaan. Ik merk dat niet iedereen daar zin in heeft en daardoor maar niet gaat melden, of erger: alles direct publiceren. Omdat bug bounties worden aangeprezen als een betere variant van CVD is er vaak geen laagdrempelige manier om te melden.

Wouterie @FrostyPeet • 15 december 2025 10:23

Waarom toch die hang naar idealisme? Ik vind het niet meer dan terecht dat een keihard commercieel bedrijf ook betaalt voor het vinden van kwetsbaarheden. Dat 'arme landen' nu extra gemotiveerd worden is dan meteen mooi meegenomen.

Dat laatste punt van jou is iets waar we niet over praten