De Europese Commissie gaat ethische hackers voortaan financieel belonen als ze problemen ontdekken in open source software. Het Belgische Intigriti mag dat bug bounty programma beheren.
Het gaat om een onderdeel van het EU FOSSA 2 project waarbij een vijftiental open source programma’s onder de loep worden genomen en er in totaal meer dan 800.000 euro wordt verdeeld. Onder meer KeePass, Notepad++, VLC, Apache Tomcat, PHP Symfony, Drupal en 7-Zip staan op de lijst.
Wie een kwetsbaarheid in die programma’s ontdekt maakt aanspraak op een financiële beloning. Wie ze ook nog weet op te lossen krijgt zelfs een bonus. In totaal kan het uitgekeerde bedrag oplopen tot 25.000 euro voor één ontdekt probleem.
Belgische beheer
De Europese Commissie voorzag in 2016 al extra budget voor het programma, nu er ook partners zijn gevonden voor het project kan het bug bounty program van start gaan. De voornaamste partner daarvoor is het Belgische Intigriti van Stijn Jans. Zijn bedrijf biedt een platform aan waar ethische hackers legaal bepaalde bedrijven (of hun processen) onder de loep kunnen nemen. Ook HackerOne beheert een deel van het programma.
De taak van Intigriti wordt om de ontdekte problemen te valideren. “Wij hosten het programma en het is de bedoeling dat we daar met verschillende mensen naar kijken. Daarom dat we het ook samen met Deloitte doen, om via hen een goede 2nd opinion te krijgen,” legt Inti De Ceukelaire uit aan Data News.
De Ceukelaire, zelf een ethisch hacker, adviseert Intigriti bij het project. “Het brengt wel wat uitdagingen met zich mee. Je moet in de community nagaan of een kwetsbaarheid niet al eerder gevonden is. Het kan ook zijn dat iets aanvankelijk hard lijkt op een kwetsbaarheid, maar bij nader inzicht niet echt een probleem is.”
De Ceukelaire moet bij Intigriti de brug vormen tussen de hackergemeenschap en het bug bounty programma. Gezien zijn betrokkenheid zal hij zelf niet deelnemen en krijgt hij ook geen inzage in wat anderen aanvankelijk indienen.
De bug bounties voor de meeste programma’s gaan nu of eind deze maand van start en lopen tot eind 2019 of midden 2020. Al zijn de datums flexibel. Veel zal afhangen van welke kwetsbaarheden er worden ontdekt.
Fout opgemerkt of meer nieuws? Meld het hier