Bug bounty programma

Een bug bounty programma, ook wel vulnerability rewards program (VRP) genoemd, is een crowdsourcing initiatief dat individuen beloont voor het ontdekken en rapporteren van software bugs. Bug bounty programma's worden vaak geïnitieerd om interne code audits en penetratie testen aan te vullen als onderdeel van de vulnerability management strategie van een organisatie.

Veel software leveranciers en websites voeren bug bounty programma's uit, waarbij cash beloningen worden uitgekeerd aan software security onderzoekers en white hat hackers die software kwetsbaarheden rapporteren die het potentieel hebben om uitgebuit te worden. Bugmeldingen moeten voldoende informatie bevatten om de organisatie die de premie uitbetaalt in staat te stellen de kwetsbaarheid te reproduceren. De bedragen staan in verhouding tot de grootte van de organisatie, de moeilijkheidsgraad van het hacken van het systeem en de impact die een bug op gebruikers kan hebben.

Mozilla betaalde een forfaitaire premie van 3.000 dollar voor bugs die aan de criteria voldeden, terwijl Facebook tot wel 20.000 dollar uitdeelde voor een enkele bugmelding. Google betaalde Chrome-rapporters van bugs in het besturingssysteem in 2012 samen 700.000 dollar en Microsoft betaalde de Britse onderzoeker James Forshaw 100.000 dollar voor een aanvalskwetsbaarheid in Windows 8.1.In 2016 kondigde Apple beloningen aan die opliepen tot 200.000 dollar voor een fout in de iOS secure boot firmware-componenten en tot 50.000 dollar voor het uitvoeren van willekeurige code met kernelprivileges of ongeautoriseerde iCloud-toegang.

Hoewel het gebruik van ethische hackers om bugs te vinden zeer effectief kan zijn, kunnen dergelijke programma's ook controversieel zijn. Om potentiële risico's te beperken, bieden sommige organisaties gesloten bug bounty-programma's die een uitnodiging vereisen. Apple, for example, has limited bug bounty participation to few dozen researchers.