Microsoft keert 28.000 dollar uit aan ontdekkers IE-lekken

Microsoft heeft 28.000 dollar uitgekeerd aan ontdekkers van lekken in Internet Explorer 11. Het is de eerste keer dat Microsoft geld geeft voor het rapporteren van beveiligingslekken, maar het 'bug bounty'-programma voor Internet Explorer is nu ten einde.

Microsoft Internet Explorer 9 logo (90 pix)In aanloop naar de release van Internet Explorer 11, riep Microsoft beveiligingsonderzoekers op om de software alvast te onderzoeken op kwetsbaarheden. In totaal kregen zes beveiligingsonderzoekers 28.000 dollar van Microsoft voor het vinden van bugs in Internet Explorer 11.

Daaronder was ook een Nederlandse beveiligingsonderzoeker, Peter Vreugdenhil, maar onduidelijk is wat de Nederlander kreeg voor het vinden van de bugs. Drie kwetsbaarheden werden gevonden door medewerkers van Google; zij doneerden hun beloning aan goede doelen. De beloningen liepen uiteen van 500 tot 5500 dollar; gezien het bedrag van 28.000 dollar is het aannemelijk dat vijf beveiligingsonderzoekers 5500 dollar kregen en een 500 dollar.

Veel andere bedrijven betalen al geld voor het vinden van kwetsbaarheden die risico's vormen voor gebruikers. Bij bijvoorbeeld Google gaat het echter om een doorlopend programma: het 'bug bounty'-programma voor Internet Explorer 11 is nu gesloten. Wel heeft Microsoft nog twee andere nieuwe programma's lopen. Wie een echt nieuwe manier weet te vinden om Windows 8.1 te kraken, krijgt 100.000 dollar; wie goede ideeën heeft voor de beveiliging, maakt kans op 50.000 dollar.

Door Joost Schellevis

Redacteur

Feedback • 08-10-2013 08:50 32

08-10-2013 • 08:50

32

Lees meer

Internet Explorer

geen prijs bekend

3.5 van 5 sterren
Nintendo looft tot 20.000 dollar uit voor 3DS-kwetsbaarheden
Nintendo looft tot 20.000 dollar uit voor 3DS-kwetsbaarheden Nieuws van 6 december 2016
Microsoft beloont onderzoeker met 13.000 dollar voor ernstig authenticatielek
Microsoft beloont onderzoeker met 13.000 dollar voor ernstig authenticatielek Nieuws van 4 april 2016
HackerOne beloont het melden van bugs die stabiliteit internet bedreigen
HackerOne beloont het melden van bugs die stabiliteit internet bedreigen Nieuws van 7 november 2013
Microsoft waarschuwt voor zero day-aanval via tiff-afbeeldingen
Microsoft waarschuwt voor zero day-aanval via tiff-afbeeldingen Nieuws van 6 november 2013
Windows 8.1 krijgt extra 'GA Rollup A'-update bij release
Windows 8.1 krijgt extra 'GA Rollup A'-update bij release Nieuws van 13 oktober 2013
Google gaat veiligheidspatches voor opensource-software belonen
Google gaat veiligheidspatches voor opensource-software belonen Nieuws van 10 oktober 2013
Europol: overheid moet eisen stellen aan beveiliging software
Europol: overheid moet eisen stellen aan beveiliging software Nieuws van 10 oktober 2013
Microsoft dicht misbruikte Internet Explorer-lekken
Microsoft dicht misbruikte Internet Explorer-lekken Nieuws van 9 oktober 2013
Ontwikkelaar demonstreert Facebook-bug via account Mark Zuckerberg
Ontwikkelaar demonstreert Facebook-bug via account Mark Zuckerberg Nieuws van 18 augustus 2013
Microsoft looft 100.000 dollar uit voor melden van lek in Windows 8.1
Microsoft looft 100.000 dollar uit voor melden van lek in Windows 8.1 Nieuws van 20 juni 2013
Google beloont hacker alsnog voor Chrome OS-exploit
Google beloont hacker alsnog voor Chrome OS-exploit Nieuws van 19 maart 2013
Google patcht recent Chrome-lek in tien uur tijd
Google patcht recent Chrome-lek in tien uur tijd Nieuws van 11 oktober 2012
Google looft 1 miljoen dollar uit voor Chrome-exploits
Google looft 1 miljoen dollar uit voor Chrome-exploits Nieuws van 28 februari 2012
Google beloont hackers met 310.000 euro voor beveiliging
Google beloont hackers met 310.000 euro voor beveiliging Nieuws van 10 februari 2012
Meer producten en artikelen
Browsers

Reacties (32)

-Moderatie-faq
32
30
24
1
0
2
Wijzig sortering

Sorteer op:

Weergave:
Eris 8 oktober 2013 09:45
Het staat gewoon vermeld wie wat gewonnen heeft:


Total bounties paid to date in 2013: Over $28,000!

James Forshaw, @tiraniddo, Context Security
4 Internet Explorer 11 Preview Bug Bounty - $4,400
1 Bonus for finding cool IE design vulnerabilities - $5,000

Jose Antonio Vazquez Gonzalez, Yenteasy - Security Research
5 Internet Explorer 11 Preview Bug Bounty vulnerabilities - $5,500

Ivan Fratric, Google, Inc security team
Internet Explorer 11 Preview Bug Bounty $1,100 - Donated to Save the Children Fund

Masato Kinugawa
2 Internet Explorer 11 Preview Bug Bounty vulnerabilities - $2,200

Fermin J. Serna, Google, Inc
1 Internet Explorer 11 Preview Bug Bounty $500 - Donated to Save the Seattle Humane Society

Peter Vreugdenhil, Exodus Intelligence
1 Internet Explorer 11 Preview Bug Bounty – Tier 1
walkstyle 8 oktober 2013 08:55
Ik moet toegeven dat zijn erg leuke prijzen, enkel moet je denk ik best veel moeite doen om zo een lek te vinden ?
frankwopereis @walkstyle8 oktober 2013 08:57
Als je 2 jaar bezig bent om Windows 8.1 te kraken, heb je alsnog 50k per jaar verdiend. Niet dat het zo eenvoudig is, maar als je er kennis en kunde van hebt en je de gok waagt, kan het je toch mooi een ton opleveren.
Ramon @frankwopereis8 oktober 2013 09:54
Dat is wel de overtreffende trap van freelancen.
PuzzleSolver @frankwopereis8 oktober 2013 10:15
Als je 2 jaar bezig bent om Windows 8.1 te kraken
Dan is iemand anders je waarschijnlijk al voor geweest en heb je helemaal niets verdient. Dit is net de loterij, je hoort alleen maar wie er gewonnen heeft, niet hoeveel deelnemers er waren.

Dit is leuk voor mensen die veel werken met Windows API's en toevallig ergens tegen aanlopen. Op deze manier worden ze aangemoedigd zo'n bug te melden i.p.v. het zal wel of nog erger het verkopen op de zwarte markt. Overigens kan het verkopen op de zwarte markt (of NSA :+ ) je nog steeds veel meer opleveren imho.

[Reactie gewijzigd door PuzzleSolver op 24 juli 2024 22:11]

T-!-M @walkstyle8 oktober 2013 08:58
Tja, reken 100.000 dollar maar om in werkuren. Als je eenmaal zoiets vindt ben je ook echt binnen. Er bestaan bedrijven die volledig kunnen leven op dit werk, fulltime zoeken naar kwetsbaarheden in programma's.
Bux666 @T-!-M8 oktober 2013 10:06
Als je eenmaal zoiets vindt ben je ook echt binnen.
Dat vind ik redelijk onwaar moet ik zeggen. Ik heb ooit iemand gesproken die bij zo'n bedrijf werkt in Nederland. Daar is het gemiddelde maandsalaris boven de € 6.000 bruto.

$ 100.000 is volgens de huidige koers € 73.730. € 73.730 / € 6.000 = 12,28 maanden. Je kan van dat geld dus 1 jaar lang 1 engineer betalen, exclusief alle overige kosten die een werkgever nog betaald voor een werknemer. In de praktijk kom je ongeveer op max. 8 maanden uit.

Om nou te zeggen dat je dan 'binnen bent'. Het is leuk als je zoiets ontdekt als hobbyist of ZZP-er. Maar niet als commercieel bedrijf met hoog gekwalificeerd personeel.

Edit: typo

[Reactie gewijzigd door Bux666 op 24 juli 2024 22:11]

CMD-Snake @T-!-M8 oktober 2013 10:32
Vupen is een van de bekendste cq. beruchtste die dit doet. Ze doen het alleen niet om software beter te maken. De lekken die dit soort bedrijven vinden verkopen ze eerder aan de hoogste bieder, waarbij het niets uitmaakt dat die bieder minder goede bedoelingen heeft. Ergens vermoed ik dat die nog meer betalen dan zo'n programma van Microsoft of Google.

Dat is ergens ook het probleem met wedstrijden als Pwn2Own. Je moet een hack bekend maken, maar de andere mag je geheim houden. Je krijgt wel je prijs. Dus hebben software fabrikanten er niets aan. Google had een betere insteek, je krijgt alleen je prijs als je alle details van je exploit bekend maakt.
xFeverr 8 oktober 2013 08:55
Zo zie je maar, je software hoeft niet open-source te zijn om veilig te zijn. Integendeel, ik denk dat deze manier veel veiliger is. Geef mensen gewoon geld als ze het kraken en vertellen wat het is, ipv. alles open en bloot gooien.
jaapzb @xFeverr8 oktober 2013 10:04
Behalve als je geen shitloads aan geld hebt en je toch een succesvol project wilt hebben, dan word het misschien toch wat lastiger
svennd @xFeverr8 oktober 2013 10:21
De sterkte van open-source is toch niet per definitie om veilig te zijn ? De meeste code die ik schrijf gooi ik op het web, daar kijkt niemand naar de veiligheid; het gaat om delen van ideeën;

Ik denk ook niet dat het veiliger is, net omdat die hacks allemaal zonder de achterliggende code te kennen, gebeurt; Zodra je volledig inzicht hebt in de werking van een programma is het pakken eenvoudiger om m.b.v. een hack controle erover te nemen.

Ik vind het wel goed dat er betaald word voor mensen/bedrijven die hacks aangeven.
MrFax @svennd8 oktober 2013 23:23
Open Source is ook een goede voorbeeld van openheid van wat je maakt. En er dus niet geheime zaken in te gooien waar niemand achter komt
gast128 @xFeverr8 oktober 2013 10:58
Het duurt natuurlijk langer en er wordt minder ontdekt. Bij open source kan je de bron code gaan naspeuren en geloof me zelfs dat kan nog knap lastig zijn. Zonder bron code moet je gaan gokken; wellicht met trial && error gaan werken of assembly code doorspitten. Je had vroeger 2 gasten die werkten bij ntinternals en die hadden soms een dag nodig om 1 functie te reverse engineeren.

[Reactie gewijzigd door gast128 op 24 juli 2024 22:11]

blade1989 8 oktober 2013 09:00
Ik ken nog 'hacks', die sinds winxp/vista/7 werken. Ik heb het nog niet getest op 8, en ben het ook niet van plan. Mensen zouden hier een aardige zakcentje mee kunnen verdienen.
mobstaa @blade19898 oktober 2013 09:10
Waarom zou je ze niet testen op Windows 8? Stel dat het lukt heb je even mooi 100.000 dollar verdient. Ik snap niet waarom niet.

OnTopic:

Mooi dat op deze manier fouten kunnen worden verholpen in een programma, dit lijkt mij toch echt een van de beste manieren. Personen die deze problemen willen oplossen, worden flink gepushed door deze mooie som geld.
xFeverr @blade19898 oktober 2013 09:03
maar wat zijn dat dan voor 'hacks'? Programma's oid die je zelf moet starten zijn geen hack's hè...

Noem eens een voorbeeld, wat voor hack's ken je? (dan dien ik hem wel in :9)
Verwijderd @xFeverr8 oktober 2013 09:15
Waarschijnlijk heeft hij het over die struukjes, om met een usb een portable OS te laden op een windows pc, en dan in the bestanden van windows, Cmd.exe te kopieren naar bijv. plaktoetsen als je windows dat opstart kun je via plaktoetsen in te schakelen (Gewoon op shift rammen) een cmd openen van het hoogste level, waarmee de dan het w8woord kan resetten of een nieuw admin acc kan aanmaken. Kortom gewoon alle truukjes die op bijv. hackforums te vinden zijn.
xFeverr @Verwijderd8 oktober 2013 09:17
ja, maar valt dit onder hacks? want je hebt fisieke toegang tot de pc...

met secureboot en bitlocker moet dit niet mogelijk zijn.
blade1989 @Verwijderd8 oktober 2013 09:21
Nope! alhoewel wel een leuke hack!
krosis 8 oktober 2013 09:12
Leuk bijbaantje voor de NSA. // Slecht

Waarom gebruiken ze hier eigenlijk geen in-house developers voor? Lijkt me makkelijker de fout te vinden als je ook even kan koekeloeren in de bron. Of is het ook een beetje PR?

[Reactie gewijzigd door krosis op 24 juli 2024 22:11]

PdeBie @krosis8 oktober 2013 09:30
Omdat je toch altijd een soort van Wij van WC-eend manier van werken hebt.

Ik merk het ook aan mijn eigen code. Ik test alles door, maar toch weet onze tester vaak nog puntjes te vinden die ik niet gevonden heb.
1nsane 8 oktober 2013 09:18
Ik vind het nogal een goedkope manier om je software op lekken te testen, een gemiddelde pro vraag al dubbel zo'n bedrag in z'n eentje, ik denk ook dat het z'n doel voorbij streeft want ik denk dat de jongens die echte lekken vinden eerder die lekken zelf gaan exploiteren en doorverkopen dan dat ze een zakcentje van Microsoft er voor op gaan strijken
Kiwietje 8 oktober 2013 09:31
Ach, deze prijzen zijn altijd beter dan die van yahoo die laatst tegoedbonnen van 12,50 uitdeelde. Haha
S0epkip 8 oktober 2013 09:53
Wat een rare aanname m.b.t. de bedragen, sinds 500 gewoon in 25.000 past weet je daar nog helemaal niets van.
edward46 8 oktober 2013 08:57
op de zwarte markt krijg je meer voor een lek ^^
PdeBie @edward468 oktober 2013 09:28
True, maar dan ben je strafbaar ;)

En als je dit maar vaak genoeg op de correcte manier doet, worden de beloningen wellicht alleen maar hoger en het staat veel beter op je cv
Iblies @PdeBie8 oktober 2013 12:22
It's not a bug, it's a feature.
Je kunt niet zomaar de conclusie trekken dat het strafbaar is. De algemene voorwaarden hebben in Nederland en grote delen van Europa weinig waarde, je kunt daar dus niet zomaar op terugvallen als iemand een lek vindt.
MrFax @PdeBie8 oktober 2013 23:25
Maar is dat niet altijd zo? Alles wat niet legaal is verdient meer? Ik denk dat dat juist de motivatie is van criminelen.
Verwijderd 8 oktober 2013 08:59
Nog even en er komt een Microsoft Summer of Code.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq