Wat is een bug bounty?

Persoon biedt Bug aan aan laptop en krijgt er geld voor terug

Geen AI: al onze artikelen zijn geschreven door echte mensen, zonder gebruik van AI

Inhoudsopgave

Wat is een bug bounty?
Hoe werkt een bug bounty?
Soorten bug bounty-programma’s
- Eigen bug bounty programma’s
- Bug Bounty-platforms
Bug bounty voor bedrijven
- Voordelen van bug bounty
- Nadelen bug bounty-programma
Hoe kom ik in aanmerking voor een bug bounty?
Tot slot bug bounty: foutje bedankt

Klik hier voor een samenvatting

Wat is bug bounty: een korte samenvatting

Sommige bedrijven en organisaties betalen ethische hackers voor het vinden van beveiligingslekken en het blootleggen van zwakke plekken in hun systemen. Dit wordt ook wel bug bounty genoemd. Deze bug bounty-programma’s bieden diverse voordelen:

Kwetsbaarheden in systemen ontdekken.
Datalek voorkomen en geld besparen en reputatieschade voorkomen.

Wil je meer weten over bug bounty-programma’s? Lees dan het volledige artikel hieronder!

Hackers kunnen veel schade aanrichten en bedrijven zijn over het algemeen niet blij met deze cybercriminelen die het bedrijf miljoenen euro’s kunnen kosten. Naast deze kwaadaardige hackers zijn er gelukkig ook hackers met goede intenties. Deze zogenaamde ethische hackers worden door bedrijven of organisaties gevraagd om een bug te vinden in de beveiliging van hun systemen.

De kennis van ethische hackers wordt door organisaties en bedrijven gebruikt om cybercriminaliteit te bestrijden en datalekken te voorkomen. Als de ethische hacker een bug ontdekt, dan kan dit resulteren in hoge beloningen. In dit artikel vertellen we je alles over deze zogenaamde ‘bug bounty’s’.

Wat is een bug bounty?

Met behulp van bug bounty-programma’s kunnen bedrijven bugs en kwetsbaarheden in hun software vinden. Ze loven een beloning uit aan white hat hackers voor het melden van deze bugs. Deze beloning maakt het voor ethische hackers interessant om de software van het bedrijf grondig te bekijken en te testen op kwetsbaarheden.

Hoe werkt een bug bounty?

Veel organisaties, bedrijven en softwareontwikkelaars bieden bug bounty-programma’s aan. In deze programma’s worden ethische hackers uitgedaagd om fouten oftewel bugs te vinden in beveiligingssystemen van bedrijven. Deze zogenaamde ‘white hat hackers’ zijn gespecialiseerd in het testen van websites en software.

Stripje met uitleg van hoe een bug bounty-programma werkt in vier stappen

Als de hacker een kwetsbaarheid ontdekt dan ontvangt de ethische hacker een vergoeding. De hoogte van de vergoeding hangt af van de ernst van de bug die wordt gevonden. Ethische hackers die een kritische bug vinden in systemen van grote bedrijven kunnen veel geld verdienen. Er zijn zelfs een aantal gevallen bekend van white hat hackers die miljonair zijn geworden met bug bounty’s. Dit is echter zeldzaam.

Over het algemeen ontvangen white hat hackers gemiddeld tussen de honderd en duizend euro voor een gevonden bug. Grote techbedrijven met eigen bug bounty-programma’s geven vaak hogere beloningen. Hier komen we later op terug.

Soorten bug bounty-programma’s

Er zijn verschillende soorten bug bounty-programma’s. We maken onderscheid tussen:

Grote bedrijven zoals Google en Apple met eigen bug bounty-programma’s.
Bug bounty-platforms waar bedrijven zich kunnen aansluiten.

We zullen de verschillende bug bounty’s hieronder verder bespreken:

Eigen bug bounty programma’s

Grote techbedrijven als Meta, Google, Microsoft en Apple werken allemaal met hun eigen bug bounty-programma’s. Ze verwelkomen white hat hackers om een kritische blik te werpen op hun systemen. Op de website van deze grote bedrijven vind je informatie over het bug bounty-programma. De bedrijven geven duidelijke richtlijnen. Ook vermelden ze de hoogte van de vergoeding die een hacker kan ontvangen voor een gevonden bug.

Op de website van Apple worden beveiligingsonderzoekers bijvoorbeeld gevraagd om kwetsbaarheden te melden. Op de website wordt duidelijk aangegeven hoe je de bug moet rapporteren en wat de richtlijnen zijn voor uitbetaling. Apple geeft ook aan hoe de bounty-betalingen worden bepaald. Voor elke categorie is een maximum bedrag vastgesteld:

Eind 2019 verhoogde Apple de maximale vergoeding voor het vinden van belangrijke iOS-bugs naar 1 miljoen dollar.

Google onderhoudt ook een nauwe relatie met beveiligingsonderzoekers en is erg blij met ethische hackers die helpen om Google-gebruikers veilig te houden. Sinds 2010 werkt het bedrijf met een Vulnerability Reward Program, waarbij het ethische hackers beloont voor het vinden van kritische beveiligingslekken. Beloningen voor gevonden bugs lopen uiteen van $100 tot $31.337, afhankelijk van de ernst van de kwetsbaarheid. In 2021 betaalde Google bijna 9 miljoen euro aan hulpvaardige ethische hackers via het Vulnerability Reward Program.

Als het om hoge beloningen aankomt, dan spant Sky (voorheen MakerDAO) de kroon. Deze gedecentraliseerde autonome organisatie op de Ethereum-blockchain biedt een eigen bug bounty-programma aan. Sky biedt een bedrag van maar liefst $10 miljoen aan white hat hackers die ernstige beveiligingsbedreigingen ontdekken in apps en slimme contracten. Een slim contract is een digitaal contract, waarvan de afspraken in computercode staan vastgelegd op de blockchain.

Bug Bounty-platforms

Bedrijven en organisaties kunnen zich aanmelden voor een bug bounty-programma. Zij kunnen zich aanmelden bij speciale bug bounty-platformen. Bekende bug bounty-platforms zijn:

HackerOne
Bugcrowd
AntiHACK.me
Synack

Deze bug bounty-platforms werken allemaal ongeveer op dezelfde manier. HackerOne is een van de populairste bug bounty-platformen. We zullen dit platform als voorbeeld nemen en toelichten hoe dit platform werkt.

HackerOne is een door hackers aangedreven beveiligingsplatform voor alle bedrijven en organisaties die kwetsbaarheden in systemen willen testen. Een aantal grote bedrijven als Twitter, Dropbox en Starbucks is bijvoorbeeld aangesloten bij dit bug bounty-platform.

Naast deze grote bedrijven kunnen ook kleinere bedrijven zich aanmelden bij het platform. De bedrijven die zijn aangesloten bij HackerOne bepalen zelf de regels voor het testen. De bedrijven kunnen bijvoorbeeld aangeven wat getest moet worden en hoe dit moet worden gedaan.

Twitter is ook aangesloten bij HackerOne. Het sociale media-platform nodigt ethische hackers via de website bijvoorbeeld uit om kwetsbaarheden in de Twitter-service te melden. Twitter verwijst door naar HackerOne, waar je het rapport kunt indienen.

Het Bug Bounty-programma van Twitter op de HackerOne website

Op de website staan de programmaregels van het bug bounty-programma van Twitter uitgelegd. Ook de beloningen voor gevonden bugs vind je op de site. De minimale beloning van Twitter is $140 dollar. Beloningen kunnen oplopen tot $20.000.

Bug bounty voor bedrijven

Bug bounty-programma’s kunnen voor zowel kleine als grote bedrijven nuttig zijn. Vorig jaar was de detailhandel wereldwijd de sector met het op één na hoogste aantal ransomware-aanvallen. Hackers weten wat er te halen valt. Ook hebben retailers vaak toegang tot veel persoonsgegevens en betalingsgegevens. Dit maakt het een interessant doelwit voor hackers. De kosten voor retailers om een cyberaanval te verhelpen liepen vorig jaar op tot bijna 1,3 miljoen euro. Deze kosten kunnen voorkomen worden door proactief te werken aan de veiligheid van het bedrijf.

Steeds meer bedrijven zien de voordelen in van ethisch hacken. Ze stellen dan ook een ruim budget voor bug bounty’s beschikbaar.

Ook steeds meer VPN-diensten en wachtwoordmanagers zien het nut in van bug bounty-programma’s. Voor VPN-providers en wachtwoordmanagers is veiligheid natuurlijk erg belangrijk. NordVPN is in 2019 bijvoorbeeld een bug bounty-programma gestart en heeft meerdere producten toegevoegd aan HackerOne. Via dit bug bounty-platform heeft NordVPN ethische hackers uitgenodigd om de systemen te inspecteren.

Dit jaar heeft NordVPN al 910 meldingen ontvangen voor alle Nord Security-producten. 95 van deze meldingen zijn beloond en er is al meer dan 20.000 dollar betaald aan bounty’s.

Ook wachtwoordmanager 1Password heeft een bug bounty-programma. De dienst werkt samen met het platform Bug Crowd. De bug bounty-beloning van 1Password loopt op tot maar liefst 1 miljoen dollar.

Wil je voor een bedrijf een bug bounty-programma opzetten? Bekijk dan hieronder de voor- en nadelen.

Voordelen van bug bounty

Hieronder zie je een aantal redenen om te investeren in een bug bounty-programma:

Voorkomen van grote datalekken: ethische hackers controleren systemen van bedrijven en de kans is groot dat er kwetsbaarheden aan het licht komen die anders niet of te laat gevonden waren.
Reputatieschade voorkomen: door geld te investeren in het voorkomen van een datalek kunnen bedrijven mogelijke reputatieschade voorkomen.
Geld besparen: een datalek kan oplopen tot miljoenen euro’s aan schadevergoeding. Het is dan beter om een paar duizend euro te investeren in een bug bounty-programma en grote datalekken te voorkomen.

Nadelen bug bounty-programma

Bug bounty-programma’s hebben ook nadelen:

Drie nadelen van Bug Bounty-programma's voor bedrijven, met illustraties

Erg tijdrovend: het kost veel tijd om een bug bounty-programma uit te voeren. Alle rapporten die white hat hackers indienen, moeten beoordeeld worden. Als de hacker een bug vindt, dan moet dit snel opgelost worden. Hier moet tijd voor zijn.
Kwaliteit: de kwaliteit die ethische hackers leveren loopt erg uiteen. Je weet van tevoren niet hoe grondig een hacker te werk gaat.
Discussie: mogelijk ontstaat er een discussie met een ethisch hacker over een bug. Meningen kunnen verschillen over of iets wel of geen bug is. Mogelijk vindt een bedrijf dat een kwetsbaarheid geaccepteerd is, maar denkt de white hat hacker hier anders over.

Hoe kom ik in aanmerking voor een bug bounty?

Voor ethische hackers is het een sport om op zoek te gaan naar kwetsbaarheden in systemen. Het is illegaal om zomaar een bedrijf te hacken en ook ethische hackers moeten zich aan de regels houden.

Misschien heb je zelf een bug of kritische kwetsbaarheid gevonden. Wat moet je doen?

Zoek uit waar je de bug kunt melden. Mogelijk biedt het bedrijf een eigen bug bounty-programma of kun je de bug melden via een bug bounty-platform zoals HackerOne. Vaak zijn er bepaalde richtlijnen waar het rapport aan moet voldoen. Ook staat er vaak een e-mailadres op de website waar je het rapport naartoe kunt sturen.
Meld de bug zo snel mogelijk aan het bedrijf en maak geen misbruik van de kwetsbaarheid. Ga niet zelf met het systeem rommelen.

Sommige bedrijven belonen mensen voor het melden van bugs, maar bedrijven zijn uiteraard niet verplicht om een beloning te geven.

Je kunt je ook aanmelden bij HackerOne om software te testen. Na een selectieprocedure kun je wellicht aan de slag als white hat-hacker. De ethische hackers testen de beveiliging en dienen een rapport in als ze een bug vinden. Dit rapport wordt vervolgens beoordeeld door het bedrijf. Gaat het om een ernstige kwetsbaarheid die opgelost moet worden? Dan ontvangt de hacker een beloning.

Tot slot bug bounty: foutje bedankt

Steeds meer bedrijven zien het nut in van bug bounty-programma’s. Grote techbedrijven zoals Google en Facebook hebben hun eigen bug bounty-programma’s en belonen white hat hackers riant voor het melden van kwetsbaarheden. Ook voor kleinere bedrijven die met persoonlijke gegevens werken, kan een bug bounty-programma voordelen bieden. Zij kunnen er bijvoorbeeld voor kiezen om zich aan te melden bij een bug bounty-platform. Door proactief te handelen zijn bedrijven beter voorbereid op aanvallen van kwaadwillende hackers. Datalekken met grote financiële schade en reputatieschade kunnen mogelijk voorkomen worden.

Wil je meer weten over het veilig houden van je bedrijf? Lees dan ook onderstaande artikelen:

Bug bounty’s: veelgestelde vragen

Heb jij een vraag over bug bounty’s? Wij helpen je graag! Kijk in het overzicht hieronder of jouw vraag ertussen staat. Klik op de vraag om het antwoord te bekijken.