Bug bounty programs zijn een handige manier om hackers in te schakelen om bugs en veiligheidsproblemen te ontdekken. Maar de aanpak is niet zaligmakend zeggen andere securityspecialisten.
Bedrijven als Google en Facebook betalen hackers die in hun vrije tijd een veiligheidsprobleem ontdekken. Dat geeft bedrijven veel extra ogen en voor ethische hackers, zeker studenten, is het vaak een leuk extraatje. Maar dat volstaat niet.
“Bedrijven kampen met bug bounty fatigue, wanneer onderzoekers alle eenvoudige en snel te ontdekken problemen achterhalen, gaan ze vaak niet verder met geavanceerde problemen waar ze dagen en nachten aan werken”, aldus beveiligingsbedrijf High-Tech Bridge tegenover The Register.
De redenering van High-Tech Bridge kan kloppen gezien de meeste ethical hackers zoeken naar lekken in hun vrije tijd dus niet hun gewone baan enkele dagen kunnen onderbreken. Eens ze professioneel actief zijn in de IT-sector is het geld, doorgaans honderd tot een paar honderd dollar afhankelijk van het lek, bovendien minder interessant.
Al moeten we ook nuanceren dat het bedrijf in kwestie zelf een security auditing dienst aanbiedt die naar eigen zeggen wel op zoek gaat naar lastig te vinden problemen, terwijl de zoektocht naar het zogenaamde laaghangend fruit volgens hen kan geautomatiseerd worden.
In België wordt momenteel gewerkt aan een wettelijk kader rond ethical hacking. In afwachting daarvan heeft de hogeschool Howest alvast hackmysite opgezet. Een initiatief waar bedrijven zich kunnen laten hacken door studenten om zo kwetsbaarheden in hun infrastructuur te ontdekken.
Herlees hier onze longread over ethical hacking in België.
Fout opgemerkt of meer nieuws? Meld het hier