Beheer

Security
Populariteit bug bounty groeit in Nederland

Populariteit bug bounty groeit in Nederland

Hoewel Nederlandse bedrijven responsible disclosure in goed op orde hebben, zijn bug bounties nog een stap te ver.

© DNB
30 augustus 2019

Hoewel Nederlandse bedrijven responsible disclosure in goed op orde hebben, zijn bug bounties nog een stap te ver.

Hoewel er nog altijd weinig Nederlandse bedrijven een bug bounty geven voor een gevonden lek, groeit de populariteit wel. Vooral Amerikaanse en Engelse bedrijven geven hackers bedragen voor gevonden lekken.

Op het platform van HackOne starten steeds meer Nederlandse organisaties een programma, zegt Michiel Prins, mede-oprichter en Product Lead van HackerOne. “Je ziet inmiddels dat, vooral grote, Nederlandse organisaties realiseren dat ze geld beschikbaar moeten stellen voor een bug bounty programma willen ze dat er meer kwetsbaarheden gevonden worden.”

Een bug bounty is een bedrag dat wordt uitgekeerd aan een vinder en melder van een lek. Aan het verkrijgen van een bug bounty zijn vaak voorwaarden verbonden, bijvoorbeeld dat de vinder het gevonden lek niet openbaart totdat het gedicht is. Het starten van een bug bounty programma kan via georganiseerde online platformen als HackerOne of Bugcrowd.

Privéprogramma

Volgens Prins zijn er ‘onder de 100 Nederlandse bedrijven’ die op het platform van HackerOne een programma zijn gestart. Welke dat zijn, is niet altijd te delen. “We zien – en raden bedrijven dat ook aan – om te starten met een privéprogramma waar een beperkt aantal gebruikers zich op in kunnen schrijven.” Op die manier wordt het laaghangend fruit aan lekken gevonden zonder dat een organisatie veel geld kwijt is. Langzaam kan het programma dan worden uitgebreid en in een later stadium worden opengesteld voor de hele gemeenschap. Dat laatste gebeurt nog zelden door Nederlandse organisaties.

Booking.com, ABN Amro Bank, ASN Bank en Bunq Bank staan bijvoorbeeld in de lijst van Bugcrowd. Zij hebben bug bounty programma’s. Andere Nederlandse organisaties zitten in de vrijetijdssector, retail of zijn banken, zegt Prins. 

Uit het laatste onderzoek van HackerOne staat Nederland niet in de top 10 van landen waar programma's worden gestart. Maar Nederlandse hackers verdienen wel relatief goed op het platform. Nederland staat wel in de top 10 van landen waar hackers zitten. Nederlandse hackers verdienden in totaal 780.156 dollar op het platform. Het is niet bekend om hoeveel hackers het gaat.

Responsible disclosure

Waar Nederlandse organisaties wel sterk in zijn, is een responsible disclosure programma. Dat houdt in dat een organisatie heeft nagedacht hoe het met gemelde lekken omgaat en dat ook naar de buitenwereld communiceert waar een lek gemeld kan worden. De overheid raadde dat een aantal jaren geleden al aan, en veel organisaties hebben dat advies gevolgd, zegt Prins. “Nederlandse organisatie liepen op dat moment ver vooruit op organisaties in andere landen.”

Maar, zegt Prins, een responsible disclosure programma is geen bug bounty programma. “Vaak krijg je bij organisaties die een responsible disclosure programma hebben een bedankje, zoals een T-shirt of een mok met een logo. Dat is geen bug bounty. Een bug bounty is cash.”

De bedragen voor bug bounties worden steeds hoger. Apple, Google en Microsoft verhoogden de bedragen voor hun bounties. Een belangrijke reden is dat de gemakkelijke lekken inmiddels wel gevonden zijn. Omdat de lekken steeds lastiger te vinden zijn en ook meer impact hebben als er misbruik van wordt gemaakt, wordt de vergoeding die er tegenover staat ook steeds hoger.

Lees meer over
Lees meer over Beheer OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.