HackerOne beloont het melden van bugs die stabiliteit internet bedreigen

Facebook en Microsoft gaan de Internet Bug Bounty van hackerOne, een samenwerkingsverband van techbedrijven om de stabiliteit en veiligheid van het internet te vergroten, financieel steunen. Zo kunnen melders van een veiligheidslek beloond worden.

Op de website van hackerOne kunnen onderzoekers beveiligingsproblemen melden voor verschillende technologieën die veel gebruikt worden op internet zoals php, Apache of Python. Per technologie wordt er een minimumbedrag uitgeloofd. Apart daarvan kunnen hacks worden aangeleverd die een sandbox-beveiliging kunnen omzeilen. Veel browsers draaien bepaalde content die eventueel een bedreiging kan vormen, in een zogeheten sandbox om deze van de rest van het besturingssysteem af te schermen.

Ook is het mogelijk om algemene veiligheidsproblemen voor 'het internet' zelf te rapporteren. Het moet dan gaan om een lek dat producten van meerdere fabrikanten treft, veel gebruikers raakt en vooral een gevaar vormt voor het internet als geheel. Als voorbeeld noemt de organisatie onder andere de Beast-exploit uit 2011 waarmee versleutelde ssl-verbindingen konden worden gekraakt. Voor aanmeldingen in deze categorie is de minimumbeloning 5000 dollar.

HackerOne is een samenwerkingsverband van Facebook, Microsoft, Google, beveiligingsbedrijf iSec Partners en Etsy, een grote webshop. Facebook en Microsoft steunen het initiatief financieel, de andere bedrijven leveren alleen medewerkers. Onderzoekers van die bedrijven zullen gezamenlijk de aanmeldingen analyseren, daarnaast kunnen zij assisteren bij het publiceren van informatie of het coördineren van de reparatie van het lek als daar veel verschillende partijen bij zijn betrokken.

Veel bedrijven hebben programma's waarmee zij ontwikkelaars aansporen beveiligingslekken te melden door daar een beloning tegenover te stellen. De Internet Bug Bounty is in het leven geroepen omdat zo'n programma er voor sommige technologieën, die veel worden gebruikt op het internet, niet is. Ook is voor het oplossen van sommige beveiligingsproblemen vereist dat verschillende organisaties nauw samenwerken.

Door Eric Scheers

Nieuwsposter

Feedback • 07-11-2013 15:26
23 • submitter: rusman

07-11-2013 • 15:26

23

Submitter: rusman

Lees meer

Microsoft keerde afgelopen 12 maanden 13,6 miljoen dollar aan bugbounty's uit
Microsoft keerde afgelopen 12 maanden 13,6 miljoen dollar aan bugbounty's uit Nieuws van 9 juli 2021
Google start bug-bountyprogramma voor Android-apps waaronder Dropbox en Tinder
Google start bug-bountyprogramma voor Android-apps waaronder Dropbox en Tinder Nieuws van 20 oktober 2017
Bug bounty-platform HackerOne kondigt gratis dienst voor opensourceprojecten aan
Bug bounty-platform HackerOne kondigt gratis dienst voor opensourceprojecten aan Nieuws van 3 maart 2017
Nintendo looft tot 20.000 dollar uit voor 3DS-kwetsbaarheden
Nintendo looft tot 20.000 dollar uit voor 3DS-kwetsbaarheden Nieuws van 6 december 2016
Whitehat-hackerplatform HackerOne haalt 25 miljoen dollar op
Whitehat-hackerplatform HackerOne haalt 25 miljoen dollar op Nieuws van 24 juni 2015
Aanvallers stelen waarschijnlijk honderdduizend wachtwoorden bij Brabantia
Aanvallers stelen waarschijnlijk honderdduizend wachtwoorden bij Brabantia Nieuws van 5 juni 2015
Beveiligingsbedrijf verkrijgt read-toegang op Google-server
Beveiligingsbedrijf verkrijgt read-toegang op Google-server Nieuws van 11 april 2014
Google gaat veiligheidspatches voor opensource-software belonen
Google gaat veiligheidspatches voor opensource-software belonen Nieuws van 10 oktober 2013
Microsoft keert 28.000 dollar uit aan ontdekkers IE-lekken
Microsoft keert 28.000 dollar uit aan ontdekkers IE-lekken Nieuws van 8 oktober 2013
Microsoft looft 100.000 dollar uit voor melden van lek in Windows 8.1
Microsoft looft 100.000 dollar uit voor melden van lek in Windows 8.1 Nieuws van 20 juni 2013
Google beloont hacker alsnog voor Chrome OS-exploit
Google beloont hacker alsnog voor Chrome OS-exploit Nieuws van 19 maart 2013
Meer producten en artikelen
Networking en security Internet

Reacties (23)

-Moderatie-faq
23
22
13
2
0
5
Wijzig sortering

Sorteer op:

Weergave:
BKJ 7 november 2013 15:34
HackerOne is opgezet door Nederlanders, dus zeker het vermelden waard. Zie ook de WHOIS van het domein. Knap staaltje werk van deze landgenoten!
Ma_rK @HMC7 november 2013 21:03
Toevallig ken ik de mannen al een tijdje en Jobert en Michiel zijn al jaren actief in de security research wereld (hackers die je betaald). Ze zijn in hun studietijd onder andere naar binnengewandeld bij Blackboard. Ze paste vervolgens niet hun cijfers aan maar schreven daar een rapport over en gingen met BB aan tafel zitten.

Ze zijn al jaren bezig met dit concept met slecht 1 doel: betere software en goede beveiliging (van oa jouw persoonsgegevens).

Ze hebben al deze partijen (bij elkaar!) aan tafel gekregen omdat er geen goede plek is voor hackers om een (white) reputatie op te bouwen (al helemaal niet tegen betaling). Dit is een prachtige centrale omgeving waar mensen software ook voor release kunnen laten testen. Geweldig dat dit uit Nederland komt en ik ben trots op de mannen.

Nog wat overwegingen over geld verdienen als hacker:
  • Wat denk je dat een security expert in the valley verdient bij een MS of Twitter?
  • Wat is een goed exploit of toegang tot de Facebook systemen waard op Silkroad?
Kan je vertellen dat het meer is dan je verdient met het opzetten van je eigen startup ;)

[Reactie gewijzigd door Ma_rK op 23 juli 2024 06:31]

Martijntj 7 november 2013 15:35
Wel een beetje karig - 5000 euro als minimum-bedrag als je een exploit meldt die het HELE Internet zou kunnen treffen. Natuurlijk, het is maar een minimum, maar benieuwd ben ik dan naar wat een gemiddelde of maximum zou zijn. Zeker dit soort grote bedrijven hebben profijt bij een stabiel en goed werkend Internet.
Durandal @Martijntj7 november 2013 16:03
Zeker, daar kan je nog wel een redelijk aantal nullen achter zetten als je gaat leuren bij de diverse veiligheidsdiensten of misschien ook bij criminelen.
Henk Poley @Durandal7 november 2013 16:54
Misschien tijd om die 'veiligheidsdiensten' kapers (privateers/corsairs) te gaan noemen.

[Reactie gewijzigd door Henk Poley op 23 juli 2024 06:31]

frankwopereis 7 november 2013 15:31
Goed initiatief! 5 initiatiefnemers, een hele wereld die er van profiteert:)
kramer65 7 november 2013 15:36
Goeie zaak. Langzaamaan worden "hackers" steeds serieuzer genomen en worden de incentives eens goed doorgelicht.

Wat mij betreft kunnen overheden en zorginstellingen hiervan leren. Ik zou het bijvoorbeeld toejuichen als de NL overheid zoiets zou instellen. Moet je opletten hoeveel lekken er ineens in overheidssystemen worden gevonden.

Ook zou ik het goed vinden als instellingen zulke bij wet gedwongen worden zulke bountyprogramma's in te voeren. Op die manier wordt het een winstgevende zaak om de security op orde te hebben, en denken bedrijven ook wel twee keer na voordat ze alle mogelijke klanteninformatie gaan opslaan "gewoon omdat het kan". Een te grote hoeveelheid aan informatie wordt immers een risico voor het bedrijf, ipv alleen een risico voor de klant.
Verwijderd 7 november 2013 15:41
Ze zouden hier een crowdfunding van moeten maken. Ben best bereid af en toe wat geld in te leggen voor een more secure internet!
crackletinned 7 november 2013 15:45
Dit lijkt vooral voor show. Als ze nou eerst een de bugs die gemeld worden zouden fixen. Bij dit project worden er ook allerlei eisen gesteld, het zou jammer zijn als ze dit als een excuus zouden gebruiken. Er is een loket voor het melden van veiligheidslekken dus nu hoeven die bedrijven zelf niets meer te doen. En als het niet binnen de gestelde voorwaarden past (zo ongeveer alle veiligheidslekken dus) kan het genegeerd worden.
Verwijderd 7 november 2013 15:35
Beetje offtopic, maar wat we hier continu zien is het aanpakken van de gevolgen. Hoe lang moet het duren voordat we de oorzaken gaan aanpakken? Eenieder die een beetje ervaring heeft, weet wat ik bedoel. Maar toch blijven we om de hete brei heen fietsen.
froggie @Verwijderd7 november 2013 15:42
Ik heb wel een beetje ervaring (ervaring met wat? koekhappen?), maar welke oorzaken bedoel je hier? Je wil alle hackers opsluiten? Gegarandeerde bug vrije software schrijven?
Verwijderd @froggie7 november 2013 16:16
Gisteren kwam het bericht dat door een fout in het lezen van een tiff file, een besmette tiff file het systeem kan overnemen. Dit geldt weliswaar voor oudere MS software, maar toch.

Zo rond 2000, toen Windows NT uitkwam, schreef men in Computer!Totaal nog het volgende: Qua bescherming tegen malafide code biedt MS Dos een t-shirt, Windows 95 een kogelvrij vest en Windows NT een pantserwagen.

Sindsdien kwamen er, door de jaren heen, wekelijks, zo niet dagelijks, berichten over bugs, lekken waardoor malafide code veel kwaad kunnen aanrichten. Met MS software voorop, maar ook Linux en (in mindere mate) ook OS/X.

Het probleem is namelijk dat geheugengebieden niet goed genoeg afgeschermd zijn. Dit is een gevolg van de monolithic kernel. Een microkernel zoals Minix 3 heeft hier geen last van. En vooral Minix 3 is interessant omdat hier zoveel veiligheidsfeatures standaard zijn ingebakken.

Kijk ook naar dit (wel lang) en dit (vanaf 4:00) filmpje, dan begrijp je wat ik echt bedoel.
mae-t.net @Verwijderd7 november 2013 17:53
Behalve de kernel scheelt ook de architectuur van de processor en van de computer een hoop.

Probleem is dat het erg lastig is om in een grote markt van bestaande technieken, nieuwe niet uitwisselbare technieken in te voeren.
Verwijderd @mae-t.net7 november 2013 18:14
Probleem is dat het erg lastig is om in een grote markt van bestaande technieken, nieuwe niet uitwisselbare technieken in te voeren.
Minix 3 heeft de NetBSD userland. Als iets op *BSD werkt, zal het niet zoveel moeite kosten om het op Minix 3 te laten draaien. Een vlaggetje in een Makefile en dat soort dingen. Open Source biedt hier voordelen.

Bestaande technieken zal je *altijd* blijven achtervolgen. Dat is zo helaas. Toch zie je ook verschuivingen naar nieuwe platformen. ARM bv en de Google Operating Systems.

Er wordt echter IMO te weinig gewerkt aan strikte scheiding van taken en ook te weinig aan bloat, de twee grootste problemen mbt vulnerabilities.
H!GHGuY @Verwijderd8 november 2013 12:23
Het probleem met micro-kernels zoals Minix is nog altijd performance.
Bovendien lost een microkernel enkel een beperkte set security problemen in de kernel op. Vulnerabilities in userland code los je niet op met een microkernel.

Eigenlijk verplaats je gewoon het probleem en deel je het op in kleinere stukjes. Maar fundamenteel wijzigt er weinig. Een bug in de filesystem code kan nog altijd binaries zo corrumperen dat je malware injecteert in bestaande binaries. Je moet ook telkens messages passen die dan geparsed moeten worden. Etc.

Je verkleint de attack surface, maar niet in die mate dat het performance verlies het waard is.
Verwijderd @H!GHGuY8 november 2013 13:48
Microkernels zijn wel degelijk het antwoord op een hoop problemen. De performance issues zijn verwaarloosbaar klein. Vergeet niet dat we zo'n krachtige processoren tegenwoordig hebben.

In de kernel wordt bv geen memory gealloceerd gedurende de levensduur. Geen buffer overruns dus in de communicatie.

Maar ik stel echt voor om de filmpjes te bekijken die ik in een vorig bericht heb vermeld. Dan wordt een hoop duidelijk. En het is nog leerzaam en grappig ook. Wat wil je nog meer ;)
crazylemon @Verwijderd7 november 2013 15:45
Noem eens een oorzaak met bijbehorende "goede aanpak"?
The Realone @Verwijderd7 november 2013 15:56
Nogal een vreemde beredenering. Je kunt lekken in software ook gewoon zien als een oorzaak. Zonder lekken geen misbruik ervan.
Verwijderd @Verwijderd7 november 2013 18:40
Dit werkt ook nog eens op de lachspieren want eigenlijk zeg je dat je geen vertouwen hebt in je eigen bedrijf/personeel.

De hackers die zero day hebben gaan dit niet melden. Dan komt het neer op goedkope arbeidskrachten die jou kreupele malware moet testen zodat "ïedereen" veilig is.

Er wordt al dagelijks waarschijnlijk gemeld in sommige gevallen kan je gewoon terug vinden van meldingen die gedaan zijn waar MS en of andere bedrijven het gewoon links lieten liggen tot dat iemand die dit niet zo netjes vond en het publiekelijk maakte.

Bedrijven die hier aan mee werken zijn disputabel. Zou er zelfs een verkapte vorm van werving achter zoeken.
Dr.Root 7 november 2013 15:50
Volgens mij leverd het nog altijd meer op om deze informatie te verkopen aan kwaadwillende criminele super organisaties ;) Mocht je een heel sick lek binnen de overheid vinden, ben je binnen een mum van tijd milionaire en wordt je opgepakt. Maargoed :P

Het initiatief is zeker goed! Helemaal voor de hackers die etisch verantwoord hacken :)

[Reactie gewijzigd door Dr.Root op 23 juli 2024 06:31]

BlackMage 7 november 2013 16:06
Tja ik denk niet dat dit goed is voor de openbaarheid hoor, zeker niet als het kwetsbaarheden betreft van één van de investeerders.

Als er een kwetsbaarheid gevonden is moet die gewoon zo openbaar worden dat er binnen een paar dagen een exploit voor komt die actief misbruikt gaat worden. Alleen als dat gebeurt zullen de bedrijven de kwetsbaarheid snel oplossen.
maquis 7 november 2013 17:12
Ben bang dat ze het grootste beveiligings- probleem "menselijk surf gedrag" niet kunnen aanpakken.....;

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq