Microsoft gaat bugbounty's uitkeren voor kwetsbaarheden in thirdpartysoftware

Microsoft gaat in de toekomst ook bugbounty's betalen als hackers kwetsbaarheden vinden in thirdpartysoftware. Als die software risico's oplevert voor Microsoft-producten, kunnen onderzoekers daar geld voor krijgen - mits die diensten niet ook een eigen bugbounty hebben.

Microsoft kondigde die veranderingen aan tijdens securityconferentie Black Hat Europe. Het bedrijf gaat zijn bugbountyprogramma in zijn geheel anders vormgeven, met een principe dat het 'In Scope by Default' noemt. Dat betekent dat alle onlinediensten van Microsoft standaard binnen de scope van Microsofts eigen bugbountyprogramma vallen.

Voorheen had het bedrijf een bugbountyprogramma waarbij iedere dienst en iedere software een eigen scope had. Die hadden allemaal eigen beperkingen. "Onze nieuwe aanpak breidt het programma zodanig uit dat alle online diensten standaard toe worden gelaten", zegt Microsoft. "Dat betekent ook dat nieuwe diensten direct binnen het bugbountyprogramma vallen zodra ze uit zijn."

Opvallender is dat Microsoft bugbounty's gaat uitbetalen voor thirdpartysoftware. Het gaat om software waarbij Microsofts online diensten door worden getroffen. Daar vallen opensourcesoftwareprojecten ook expliciet onder, benadrukt het bedrijf. Maar Microsoft maakt wel een belangrijke kanttekening. Het bedrijf keert de beloning alleen uit als de softwaremaker zelf niet ook al een bugbountyprogramma heeft.

Microsofts aanpak is niet helemaal uniek. Google begon in 2013 al met het uitkeren van beloningen voor bugs in opensourcesoftware, zij het in beperkte mate. Andere grote techbedrijven, zoals Apple of Meta, doen dat echter nog niet.

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 14-12-2025 12:46
16 • submitter: eprillios

14-12-2025 • 12:46

16

Submitter: eprillios

Lees meer

Apple verhoogt maximale bugbountybeloning en introduceert 'target flags'
Apple verhoogt maximale bugbountybeloning en introduceert 'target flags' Nieuws van 10 oktober 2025
Google betaalt 250.000 dollar bugbounty voor ernstige kwetsbaarheid in Chromium
Google betaalt 250.000 dollar bugbounty voor ernstige kwetsbaarheid in Chromium Nieuws van 11 augustus 2025
Curl overweegt bugbountyprogramma aan te passen vanwege overdaad aan 'AI-slop'
Curl overweegt bugbountyprogramma aan te passen vanwege overdaad aan 'AI-slop' Nieuws van 16 juli 2025
Google repareert bug waarmee het mogelijk was om telefoonnummers te achterhalen
Google repareert bug waarmee het mogelijk was om telefoonnummers te achterhalen Nieuws van 10 juni 2025
Apple begint bugbountyprogramma voor AI, zet virtuele omgeving op voor hackers
Apple begint bugbountyprogramma voor AI, zet virtuele omgeving op voor hackers Nieuws van 25 oktober 2024
Amazon Web Services begint voor het eerst eigen bugbountyprogramma
Amazon Web Services begint voor het eerst eigen bugbountyprogramma Nieuws van 20 september 2024
Google verhoogt maximale bugbountybeloning voor geheugenbugs in Chrome
Google verhoogt maximale bugbountybeloning voor geheugenbugs in Chrome Nieuws van 29 augustus 2024
Meer producten en artikelen
Beveiliging en antivirus Microsoft bugbounty

Reacties (16)

-Moderatie-faq
16
13
7
0
0
2
Wijzig sortering

Sorteer op:

Weergave:
FrostyPeet 14 december 2025 13:36
Vind dit wel een glijdende schaal.

"Hacken" of het "vinden van kwetsbaarheden" is een verdienmodel geworden. Niemand gaat nog uit idealisme een "bug" melden als er (overal) potentieel geld geboden wordt.

Het motiveert mensen ook om maar rond te poken. Misschien vinden ze wel iets wat geld waard is.

Het zorgt er ook voor dat mensen in arme landen dit extra motiveert. Geen Nederlander gaat voor 2000 euro een half jaar "poken" in een pakket. Maar voor iemand uit een arm land kan dit een paar maanden inkomen opleveren.

Het zal ook bij MS veel ongewenst verkeer op hun systemen opleveren, want ja, ze bieden geld. Dus gaan met Wireshark en debuggers, AI prompt hacking, port probing etc.

Het ironische is, als de Amerikaanse overheid hen beveelt, zal MS gewoon alles overhandigen wat ze hebben. Dus ja, hoe veilig is het dan?
Reageer
themadone @FrostyPeet14 december 2025 13:40
Stel je vind het leuk om een beetje te proberen software bugs te vinden, maar je moet daarnaast een normale baan aanhouden omdat iedereen verwacht dat je het maar gratis deelt.

Dan is dit juist een mooie oplossing om betaald te krijgen voor werk wat je leuk vind.
Reageer
FrostyPeet @themadone14 december 2025 13:56
Als jij het leuk vind om een paar uur bugs te zoeken, kan ik mij voorstellen dat je die tijd dan besteed aan een project wat mogelijk geld oplevert. Helemaal als je er goed in bent ontstaat de economische afweging. Bug hunten bij een gratis open source project of dezelfde energie in een project wat mogelijk een leuk bedrag oplevert?
Reageer
kristofv @FrostyPeet14 december 2025 19:24
Heel ander gegeven. Design/implementatie van een design vs testen van een design.


Het is een veld dat , bijna, een bepaald type persoonlijkheid vereist om er echt goed in te zijn, die persoonlijkheid overlapt niet al te goed met "een product lanceren".

Ik zie het een beetje als schaken in die zin, het is dezelfde mindset op veel manieren. Buiten Magnus Carlssen misschien is dat nu ook niet het meest sociale publiek ;-)
Reageer
Blokker_1999
@FrostyPeet14 december 2025 13:41
Maar je moet bijna wel, want wat gaat men anders doen? Het melden bij de maker? of verkopen aan criminelen die er geld voor willen geven? Als je er aan wenst te verdienen, dan kies je voor optie 2 als de makers geen bug bounty programma hebben.

Daarnaast zijn vele basale fouten gewoon eenvoudig te vermijden vandaag de dag, waardoor je soms weken of maanden aan het zoeken bent naar een mogelijkheid om iets te misbruiken. Als je daar dan aan kunt verdienen, dan wil je dat ook gewoon doen.
Reageer
Sebazzz @FrostyPeet14 december 2025 14:16
Het zorgt er ook voor dat mensen in arme landen dit extra motiveert. Geen Nederlander gaat voor 2000 euro een half jaar "poken" in een pakket. Maar voor iemand uit een arm land kan dit een paar maanden inkomen opleveren.
Op dit moment komt daar een grote influx van AI gegenereerde bounty reports ook vandaan. Gemakkelijk te maken, maar kost een hoop tijd aan de kant van de maintainers.
Reageer
gixslayer @FrostyPeet14 december 2025 14:23
Ik zie het probleem niet zo. Als er daadwerkelijk een kwetsbaarheid in een systeem zit, dan is het toch helemaal prima als er (veel) mensen naar kijken en er iemand in slaagt het te vinden, zolang dit dan gemeld wordt bij de vendor/developer? Wat is het alternatief, niet betalen, dreigen met rechtszaken?

Het is duidelijk dat criminelen, en zeker ook nation states, grof geld over hebben voor exploits (met een beetje impact dan). Je hebt genoeg grijze/zwarte marken waar je de boel dan kan verkopen, al weet je dat er waarschijnlijk weinig goeds mee gaat gebeuren. Als je als Microsoft daar een redelijk bug bounty programma tegenover zet dan heb je als hacker een mooi legaal pad waar je ook nog wat aan kan verdienen, en moreel wellicht wat eenvoudiger is te verdragen. De financiële incentive is er al, het doel met een bug bounty is om het om te buigen zodat het aan je wordt gemeld i.p.v. door te verkopen aan shady andere partijen. Het is echt niet zo dat iedere hacker dan vervolgens aan de hoogste bieder gaat verkopen; legaliteit en moraliteit/ethiek zijn ook gewoon factoren hierin, maar je probeert natuurlijk het aantrekkelijker te maken om het 'juiste' te doen.

Wat ongewenst verkeer etc betreft: natuurlijk moet een ethisch hacker zich binnen bepaalde kaders gedragen. Je moet niet domweg veel verkeer pompen naar een service die vervolgens daarom omvalt, en als je een exploit weet te maken (of vulnerability vindt), dan moet je dit netjes melden middels responsible disclosure, en niet verder inzetten om bijvoorbeeld nog verder in een systeem te komen, of data ermee uit te trekken etc. Ook de AI slop spam is natuurlijk niet hoe het hoort, waar bijvoorbeeld curl veel mee te maken had/heeft.

Zolang het enigszins binnen kaders valt zou ik alleen maar mensen aanmoedigen om kwetsbaarheden te vinden. Dit niet doen voelt een beetje als dat (wat mij betreft invalide) argument dat closed source software "veiliger" zou zijn dan open source. Aanvallers kijken toch wel naar je spul, liever dat de "good guys" het ook doen.
Reageer
Olaf van der Spek @FrostyPeet14 december 2025 16:20
"Hacken" of het "vinden van kwetsbaarheden" is een verdienmodel geworden. Niemand gaat nog uit idealisme een "bug" melden als er (overal) potentieel geld geboden wordt.
Het is dan (eigenlijk) ook gewoon werk..
Reageer
fuzzyIon 14 december 2025 18:22
Weet er eentje: lnk files en dll sideloading afschaffen.
Reageer
SuperDre @fuzzyIon14 december 2025 19:16
Het gaat hier om online diensten. En wat bedoel je met DLL-sideloaden, dll's zijn een belangrijk onderdeel van zo goed als alle applicaties.
Reageer
Harm_H 14 december 2025 18:29
Zijn dat dus veelgebruikte Dependency bounties?
Reageer
Flex-Able @TheDeeGee14 december 2025 13:54
Microsoft is niet een beetje van het padje, ze zijn inmiddels met Google Maps verdwaald in hun eigen cloud.
Reageer
bantoo @TheDeeGee14 december 2025 15:03
Cashen dan maar. Blijkbaar is dit heel makkelijk voor jou?
Reageer

Om te kunnen reageren moet je ingelogd zijn

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq