Microsoft keert tijdens hackathon 2,3 miljoen dollar aan bugbounty's uit

Microsoft heeft tijdens een hackathon 2,3 miljoen dollar uitgekeerd aan bugbounty's voor deelnemende beveiligingsonderzoekers. Hackers ontdekten tijdens Zero Day Quest zo'n 700 securitybugs in Cloud- en AI-diensten, die inmiddels ook zijn opgelost.

Microsoft noemt zelf dat cijfer, maar geeft geen concrete details over welke bugs er precies zijn ontdekt en opgelost. Tijdens de hackathon keerde Microsoft omgerekend 1,94 miljoen euro uit aan onderzoekers die samen 'bijna 700 bugs' aandroegen. Tachtig daarvan waren 'high-impact' bugs, hoewel Microsoft ook daarover geen informatie geeft.

De Zero Day Quest is een live-evenement waaraan bepaalde, vooraf geselecteerde beveiligingsonderzoekers mogen meedoen. Tijdens het evenement gaan die op zoek naar bugs in Microsoft-software, zoals M365, Azure of Defender. Ook Copilot valt inmiddels in de bugbountyscope van het bedrijf. Hackers moeten zich houden aan dezelfde scopes en regels als de doorsnee bugbountyprogramma's.

Volgens Microsoft werkten onderzoekers alleen in afgesloten omgevingen die het bedrijf zelf had opgezet. Microsoft kondigde vorig jaar aan een nieuwe Zero Day Quest op te zetten, zoals het jaarlijks doet, maar in de editie van 2026 het maximale prijzengeld te verhogen naar 5 miljoen dollar. Daarvan heeft het nu dus iets minder dan de helft uitgekeerd.

Datalek/Security/Hackers/Hack. Bron: Boonchai Eedmakawand/Moment/Getty Images
Simulatie van hoe de Zero Day Quest er waarschijnlijk live uit zag. Bron: Boonchai Eedmakawand/Moment/Getty Images

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 17-04-2026 15:34
19 • submitter: wildhagen

17-04-2026 • 15:34

19

Submitter: wildhagen

Lees meer

Beveiligingsonderzoekers verdienden vorig jaar 17 miljoen dollar aan Google-bugs
Beveiligingsonderzoekers verdienden vorig jaar 17 miljoen dollar aan Google-bugs Nieuws van 13 maart 2026
Belgische ethisch hacker kaapt dashboard cyberbende en stopt phishingcampagnes
Belgische ethisch hacker kaapt dashboard cyberbende en stopt phishingcampagnes Nieuws van 9 maart 2026
Curl stopt met bugbountyprogramma door 'AI-slop'
Curl stopt met bugbountyprogramma door 'AI-slop' Nieuws van 14 januari 2026
Microsoft gaat bugbounty's uitkeren voor kwetsbaarheden in thirdpartysoftware
Microsoft gaat bugbounty's uitkeren voor kwetsbaarheden in thirdpartysoftware Nieuws van 14 december 2025
Hacker publiceert exploit die jailbreak op recente PlayStations mogelijk maakt
Hacker publiceert exploit die jailbreak op recente PlayStations mogelijk maakt Nieuws van 3 november 2025
Apple verhoogt maximale bugbountybeloning en introduceert 'target flags'
Apple verhoogt maximale bugbountybeloning en introduceert 'target flags' Nieuws van 10 oktober 2025
Google betaalt 250.000 dollar bugbounty voor ernstige kwetsbaarheid in Chromium
Google betaalt 250.000 dollar bugbounty voor ernstige kwetsbaarheid in Chromium Nieuws van 11 augustus 2025
Meer producten en artikelen
Beveiliging en antivirus Microsoft

Reacties (19)

-Moderatie-faq
19
18
4
0
0
10
Wijzig sortering

Sorteer op:

Weergave:
NESFreak 17 april 2026 16:21
Blijkbaar is niet iedereen even blij met Microsofts bug bounty programma:

https://cybernews.com/sec...efender-exploit-released/
“I didn’t want to be evil, but they are actively poking me to start releasing RCEs, which I will be doing at some point… I will personally make sure that it gets funnier every single time Microsoft releases a patch,” the hacker said on the Blogspot platform.

The attacker justifies their action as a response to Microsoft allegedly ruining their life.
[...]
The hacker’s previous posts hinted at a prior relationship with Microsoft Security Response Center (MSRC) that likely went sour, potentially a formal or informal bug bounty or responsible disclosure arrangement.
Reageer
Blokker_1999
@NESFreak17 april 2026 18:45
Zonder meer uitleg is het natuurlijk ook een beetje betekenisloos. Eenvoudig om te claimen dat MS je leven geruineerd heeft met een bug bounty programma waar je vrijwillig aan deelneemt zonder uit te leggen wat er gebeurd is.

De bugs zelf zijn natuurlijk wel interessant. Defender misbruiken om een systeem te hacken.
Reageer
Siemaster 17 april 2026 15:51
Een grove 3300 dollar per bug, dat is dan toch lekker verdienen voor een paar uur tijd je best doen achter het scherm.
Reageer
farlane @Siemaster17 april 2026 16:05
En alle tijd die je er in hebt gestopt om die skill te leren...
Reageer
2TheMaks @farlane17 april 2026 21:27
En alle tijd die je er in hebt gestopt om die skill te leren...
Misschien makkelijker om een Claude Opus abonnementje te nemen?
Reageer
dasiro @Siemaster17 april 2026 17:27
FYI: wat er op die events gedaan wordt, is vaak weken of maanden op voorhand voorbereid. Net zoals je op een half uurtje examen niet een heel semester aan leerstof moet verwerken en tegelijk ook het examen afleggen.
Reageer
jkommeren 17 april 2026 16:05
Ah, misschien is dat de reden dat Onenote en Teams nu niet meer lekker werken op Android? (een change in de backend?)

Regelmatig is hij de "verbinding" kwijt en update hij niet meer op mijn telefoon, tot een restart van telefoon.
Reageer
kevlar01 @jkommeren17 april 2026 16:34
Lijkt me dat je een beetje te snel conclusies trekt.
Hoe weet je dat dit te maken heeft met de issues die jij hebt? Microsoft heeft niet aangegeven op welke producten de security oplossingen zijn toegepast.
Reageer
orvintax @jkommeren17 april 2026 18:34
Nee, dat is gewoon onderdeel van de Microsoft Office ervaring.
Reageer
BasHouse 17 april 2026 16:34
Geef mij effe die Mythos, word ik schathemeltjerijk :D
Reageer
R_Zwart @BasHouse17 april 2026 16:39
Ik gok dat er iets in de voorwaarden komt te staan over welke tools gebruikt mogen worden.....
Reageer
BasHouse @R_Zwart17 april 2026 16:45
Volgens mij zou het doel de middelen moeten heiligen.
Reageer
digital-IMEI @BasHouse17 april 2026 17:09
Zeker, maar daar denkt de finance afdeling van Microsoft waarschijnlijk anders over.

wellicht dat er een clausule bestaat dat je x% krijgt bij het gebruik van bepaalde tools om excessen in te dammen.
Reageer
Yalopa @BasHouse17 april 2026 18:19
Ze hebben mythes daar al draaien hoor
Reageer
michaelkamen 17 april 2026 17:23
Worden deze bugs echt 'ontdekt' tijdens deze sessies, of hebben de security researchers deze bugs al in hun achterzak en moeten ze het alleen nog aantonen tijdens de hackathon?
Reageer
Blokker_1999
@michaelkamen17 april 2026 18:48
Heel vaak zijn die gewoon voorbereid. Je gaat niet snel even vanaf 0 beginnen en op enkele dagen zeer complexe exploits schrijven. Je krijgt daar de tijd om een POC vanaf 0 te bouwen op systemen aangeleverd door MS om zo aan te tonen dat het probleem effectief in de software zit en er niet een gecontroleerde, gemanipuleerde omgeving nodig is om het misbruik mogelijk te maken. Dat laatste kan nog altijd interessant zijn, maar als je al totale controle over de omgeving nodig hebt dan ben je natuurlijk niet meer bezig met privilege escalation of remote code execution.
Reageer
Urk 17 april 2026 18:47
Dan hadden ze mij een paar jaar geleden ook wel eens mogen betalen. Heb toen gemeld dat als je uit een systeem (in ons geval thin clients) de fysieke netwerk kabel eruit trok en er weer indeed een vergrendelde RDS sessie zonder wachtwoord in te voeren gewoon ontgrendelde onder de gebruiker waarin hij daarvoor vergrendeld zat.

Probeer maar eens uit, op veel thin clients is dit nog makkelijk te misbruiken volgens mij...

Nooit iets geboord van MS op de report maar was later wel gefixed....

[Reactie gewijzigd door Urk op 17 april 2026 18:49]

Reageer
Rataplan_ @Urk17 april 2026 20:57
Same here, over diezelfde bug. Die Nederlandse naam daarin komt mij heel bekend voor. https://www.bleepingcomputer.com/news/security/remote-desktop-zero-day-bug-allows-attackers-to-hijack-sessions/

Bleeping computers heeft contact opgenomen, MS nooit meer. Die deden het ticket af met 'ja en?'. Pas toen het aan de grote klok kwam te hangen werd het gefixt. Ik heb in de jaren een stuk of 16 legitieme bugs gemeld aan MS, waarvan er letterlijk geen een is opgelost in het ticket. Een paar wel later, zoals deze, maar áltijd werd het afgedaan met 'we zien het issue, maar jullie zijn te klein, dus we hebben geen business case, ga weg.

Dat gezegd hebbende, de bugs waar dit artikel over gaat zijn van een heel andere orde, en inderdaad veel geld waard op de zwarte markt. Dus terecht dat daarvoor betaald wordt door MS. Mijns inziens wordt er niet eens goed genoeg betaald.

[Reactie gewijzigd door Rataplan_ op 17 april 2026 20:58]

Reageer

Om te kunnen reageren moet je ingelogd zijn