Microsoft is niet van plan om hackers en onderzoekers voor het rapporteren van beveiligingslekken te betalen, ook al hebben Google en Mozilla de beloning hiervoor onlangs verhoogd. Mozilla liet begin juli weten dat het voortaan drieduizend dollar per lek betaalt, terwijl Google 3.133,7 dollar een gepaste beloning vindt. "We waarderen het ecosysteem van onderzoekers en laten dat op verschillende manieren blijken, maar we denken niet dat een beloning per lek de beste manier is", zegt Jerry Bryant, Security Program Manager van het Microsoft Security Response Center.
Motivatie
Volgens Bryant zijn de motivaties van onderzoekers niet altijd financieel. Daarnaast bedankt Microsoft in de Security Bulletins hackers en beveiligingsonderzoekers die op verantwoorde wijze het lek in kwestie rapporteerden. Bryant liet donderdag tegenover Security.nl nog weten dat de softwaregigant van deze "responsible disclosure" afstapt en voortaan voor 'coordinated vulnerability disclosure' kiest.
Een beloning is daar geen onderdeel van. "Hoewel we geen beloning per lek uitdelen, zoals ook andere bedrijfstakken niet doen, herkennen en eren we talent." Verschillende onderzoekers werken inmiddels bij Microsoft. Daarnaast worden er ook contracten met leveranciers en soms zelfs individuele onderzoekers afgesloten voor het testen van producten op beveiligingslekken. Partijen en onderzoekers die zich in de kijker speelden door kwetsbaarheden direct aan Microsoft te rapporteren.
Deze posting is gelocked. Reageren is niet meer mogelijk.