Beheer

Security
Bugbounty

Apple breidt bugbountyprogramma uit en verhoogt beloningen

Beloningsprogramma uitgebreid naar meer besturingssystemen, inclusief hogere financiële vergoedingen.

9 augustus 2019

Beloningsprogramma uitgebreid naar meer besturingssystemen, inclusief hogere financiële vergoedingen.

Wie een gat vindt in de beveiliging van Apple-producten, kan daar meer geld mee verdienen. Apple verhoogt namelijk de premie voor het vinden en melden van kwetsbaarheden, de 'bug bounty'. Hoe groter het gevaar, hoe hoger de beloning, met een maximum van 1 miljoen dollar, omgerekend bijna 900.000 euro. Nu is de hoogste vergoeding 200.000 dollar, aldus Apple.

Wie een kwetsbaarheid vindt in een systeem dat nog niet op de markt is, kan 50 procent extra beloning krijgen bovenop de reguliere vergoeding. Het moet onderzoekers stimuleren om naar Apple te stappen en niet naar de zwarte markt, of te zwijgen. Apple doet dit vermoedelijk omdat zijn bugbountybeloningen al jaren veel lager zijn dan van commerciële bedrijven. Een serieus lek in iOS levert bij een bedrijf twee tot drie keer zoveel op als bij Apple. Daar komt nu dus verandering in.

Apple wil beveiligingsonderzoekers stimuleren lekken op te sporen door iPhones met root uit te delen. Op zo'n toestel kan de onderzoeker bijvoorbeeld de processor pauzeren om te kijken wat er gebeurt met de gegevens in het werkgeheugen. Het zogeheten iOS Security Research Device-programma begint volgend jaar en alleen geselecteerde onderzoekers krijgen zo'n speciale iPhone.

Meer besturingssystemen

Apple kwam drie jaar geleden met een beloning voor het vinden van gaten in het besturingssysteem iOS. Dat wordt nu uitgebreid naar macOS, iPadOS, tvOS, watchOS en iCloud, dus voor iPads, Macs, MacBooks, Apple TV en Apple Watch. 

Beloningsprogramma nu open

Een andere verandering is dat Apple zijn bugbountyprogramma openstelt voor alle beveiligingsonderzoekers. De afgelopen jaren moest een onderzoeker zich eerst aanmelden bij Apple voordat hij een lek kon melden. Een vreemde aanpak, schrijft onder meer Tweakers. Vrijwel alle techbedrijven met een bugbountyprogramma laten iedereen een melding maken, zonder account. 

Uit onderzoek twee jaar geleden bleek dat het bugbountyprogramma van Apple weinig meldingen opleverde en daarom niet succesvol was. Op securitycongres Black Hat zegt Apple's beveiligingstopman dat het programma tegenwoordig wel een succes is. In de afgelopen drie jaar zijn er meer dan vijftig 'kritieke' bugs gemeld.

Lees meer over
Lees meer over Beheer OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.