Beheer

Security
De prijs voor een bug bounty wordt steeds hoger

De prijs voor een bug bounty wordt steeds hoger

Google, Apple en Microsoft verhoogden onlangs de vergoedingen voor gevonden bugs.

© CC0 Pixabay,  PublicDomainPictures
23 augustus 2019

Google, Apple en Microsoft verhoogden onlangs de vergoedingen voor gevonden bugs.

De bedragen die bedrijven uitbetalen voor het vinden van een kwetsbaarheid, zijn de afgelopen tijd sterk verhoogd. Hoe groter het gevaar, hoe hoger de bounty. En dat is nu net ook de reden dat de vergoeding steeds hoger wordt.

Een week geleden kondigde Apple een verhoging aan van de bug bounty die het uitkeert. Voorheen was de maximumvergoeding 200.000 dollar, nu bedraagt de maximumvergoeding 1 miljoen dollar. Google maakte onlangs ook verhogingen bekend; van 15.000 dollar naar 30.000 dollar voor bepaalde bugs in Chrome. Dat is overigens niet de maximumvergoeding: bij een keten aan kwetsbaarheden die ervoor zorgen dat code kan worden uitgevoerd op een Chromebook, betaalt het bedrijf 150.000 dollar. Ook Microsoft breidde de bugbountyprogramma’s uit. Onderzoekers kunnen tot 40.000 dollar ontvangen voor het vinden van een bug in Microsoft Azure, een bug in Microsoft Edge kan tot 30.000 dollar opleveren.

Niet alleen bedrijven betalen meer voor het vinden van kwetsbaarheden. Ook op bugbountyplatformen, zoals HackerOne of Bugcrowd, werd er in totaal een groter bedrag uitbetaald. Volgens cijfers van Bugcrowd steeg het totale bedrag dat het platform uitkeerde voor bounties met 83 procent. Het gemiddelde uitgekeerde bedrag name 27 procent toe naar 2700 dollar. In 2017 was een gemiddelde premie nog 781 dollar. HackOne betaalde in 2018 19 miljoen dollar uit. Dat is bijna het bedrag wat alle jaren ervoor in totaal werd uitbetaald. In 2017 werd er nog 11,7 miljoen aan bug bounties betaald.

Darkreading.com concludeert dat tien jaar geleden nog werd gediscussieerd of bedrijven überhaupt aan bug bounties moeten doen, nu zijn de uitgekeerde bedragen regelmatig hoger dan 1000 dollar, en zeker hoger dan 10.000 dollar.

Ook Michiel Prins, mede-oprichter en Product Lead van HackerOne ziet de gemiddelde prijs voor bounties stijgen. Volgens hem komt het omdat de bug bounty steeds meer wordt ingezet. “Een groot deel van de klanten die nu hun bounties verhogen, hebben al langer programma’s draaien op alle grote platformen. Het laaghangend fruit is inmiddels wel gevonden. Het vinden van bugs wordt steeds moeilijker, daarom stijgt het bedrag van de bijbehorende bounty”, zegt hij in een interview met AG Connect.

Score voor kwetsbaarheden

Een bedrijf dat via een platform als HackerOne aan de hackercommunity vraagt om zijn platform te testen, maakt daarvoor afspraken. Zo schrijft het in een toelichting voor welke platformen of systemen de bounty geldt. De hoogte van de bedragen wordt berekend aan de hand van de Common Vulnerability Scoring System (CVSS). CVSS is een standaard om te meten hoe kritiek een kwetsbaarheid is. Hoe hoger de CVSS-score, hoe hoger de bounty. Prins: “De meeste bedrijven gebruiken deze score om de ernst van een lek te bepalen. Er is op die manier bijna nooit discussie over de hoogte van een bounty.”

HackerOne keerde de afgelopen jaren een paar keer een bedrag uit van meer dan 100.000 dollar. “De hoogste bounty die op ons platform kan worden uitgekeerd is 250.000 dollar. Dat keert een organisatie bijvoorbeeld uit als je een lek vindt in de hardware. We hebben recentelijk wel een aantal hoge bounties uitgekeerd”, zegt Prins. Hij wijdt niet uit over welke bedrijven dat betreft, hoewel het voor bedrijven wel goed is om over uitgekeerde bedragen open te zijn, zegt hij. “Als je een keer zo’n hoog bedrag uitkeert, dan trekt dat ook andere hackers. Zie het als een soort advertentie.”

Lees meer over Beheer OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.