Mozilla verhoogt beloningen Firefox Bug Bounty programma

Mozilla verhoogt beloningen Firefox Bug Bounty programma

Laatst bijgewerkt: 24 april 2020
Leestijd: 2 minuten, 18 seconden

Mozilla, de makers van de webbrowser Firefox, gaat haar beloningsprogramma uitbreiden. Iedereen die een potentieel beveiligingsrisico in de browser ontdekt en deze goed documenteert, kan straks tot wel 10.000 dollar per geval opstrijken. De vergoedingen voor minder ernstige kwetsbaarheden worden eveneens een stuk lucratiever gemaakt.

Dat schrijft de webbrowsermaker in een blog.

Eén miljoen dollar

Mozilla is een van de eerste bedrijven ter wereld dat een Bug Bounty programma lanceerde. Op deze manier wil het bedrijf beveiligingsdeskundigen en ethische hackers overhalen om uiterst kritisch naar haar webbrowser te kijken. Een lovenswaardig initiatief. In de eerste plaats erkent Mozilla dat zij ook maar mensen zijn en dus dingen over het hoofd kunnen zien. En verder creëert het bedrijf op deze manier een veilige en privacyvriendelijke webbrowser.

Het Firefox Bug Bounty programma is erg populair onder ontwikkelaars. Tussen 2017 en 2019 keerde Mozilla een bedrag van 965.750 dollar uit aan security experts en white hat hackers. Gezamenlijk ontdekten zij 348 bugs en kwetsbaarheden in de webbrowser van het bedrijf. Beloningen van 3.000 en 4.000 dollar werden het vaakst uitgekeerd. Slechts tweemaal schreef Mozilla een bedrag van 6.000 dollar of meer op de bankrekening van de persoon die de bug ontdekte.

Hogere beloningen

Mozilla is erg blij dat zoveel mensen een kwetsbaarheid hebben gemeld. Ze vindt het dan ook niet erg om hier geld aan uit te geven. Om in de toekomst nog meer mensen aan te sporen om actief op zoek te gaan naar bugs, gaat Mozilla de beloningsbedragen verhogen. Het basisbedrag voor zogeheten sandbox escapes en gerelateerde bugs moet straks 8.000 dollar bedragen. Nu is dat slechts de helft. Wie een kritiek beveiligingslek ontdekt en dit goed kan onderbouwen, kan in de toekomst een bedrag van 10.000 dollar op zijn rekening bijgeschreven krijgen. De bedragen in andere categorieën gaan eveneens omhoog.

Naast hogere beloningen gaat Mozilla ook het beleid van het Bug Bounty programma aanpassen. Het wordt een stuk vriendelijker en staat duplicaat inzendingen toe. Er komt een einde aan het ‘wie het eerst komt, die het eerst maalt’ principe. Als bijvoorbeeld 3 ontwikkelaars een bug meldden bij Mozilla, kreeg aanvankelijk alleen degene die zich als eerste meldde een beloning. Mozilla begrijpt dat dit zeer frustrerend werkt. Als straks 3 man zich binnen 72 uur met dezelfde bug bij het bedrijf melden, wordt de beloning in drieën gesplitst.

Cache

Begin april wist Mozilla ook al het nieuws te halen. Toen werd bekend dat ze privégevoelige informatie opsloeg in de cache van Firefox. Bestanden die via privéberichten en downloads binnenkwamen bij gebruikers, werden een week lang opgeslagen in de cache.  Op deze plek is jouw data niet veilig, omdat hackers tools hebben waarmee ze data op deze plek weten te vinden en verzamelen. Door aanpassingen aan de zijde van Twitter kan Firefox niet langer privégevoelige data opslaan in haar tijdelijke geheugen.

Privacy en security redacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. 

Meer artikelen uit het ‘Nieuws’ dossier

Reacties
Plaats een reactie
Een reactie plaatsen