Facebook en Microsoft sponsoren een nieuw beloningsprogramma genaamd HackerOne dat hackers en beveiligingsonderzoekers gaat betalen voor het melden van lekken in de software die de basis voor miljoenen websites en applicaties vormt en dagelijks door miljoenen internetgebruikers wordt gebruikt.
Het gaat dan om software zoals Python, Ruby, PHP, OpenSSL, Django, Rails, Perl, Phabricator, Nginx, Apache httpd, "sandbox escapes" en het "internet" in het algemeen. "We hebben de belangrijkste software gekozen die de internetstack ondersteunt en willen dat jij die gaat hacken", aldus de mensen achter HackerOne.
Het beloningsprogramma wordt zoals gezegd gesponsord door Microsoft en Facebook, maar de regels voor het programma zijn opgesteld door een panel van vrijwilligers uit de security-gemeenschap. Het panel bestaat uit 10 vrijwilligers, waarvan vier Microsoftwerknemers, drie Facebookwerknemers en drie mensen die voor Etsy, Google en iSEC Partners werken. De vrijwilligers spreken echter op eigen titel.
Deelnemers aan HackerOne kunnen bugs in de eerder genoemde software rapporteren, waarna HackerOne ze aan de betreffende ontwikkelaars doorspeelt. Op deze manier wil het beloningsprogramma het internet veiliger maken. HackerOne zegt dat het gerapporteerde bugs niet met andere partijen deelt en alle data als vertrouwelijk wordt behandeld. Ook van deelnemers en de geselecteerde software wordt verwacht dat ze zorgvuldig met de lekken en bugmeldingen omgaan.
Per geselecteerde software is er een minimum beloningsbedrag vastgesteld. Sandbox escapes en lekken in het "internet" leveren minimaal 5.000 dollar op, terwijl een lek in Apache bij 500 dollar begint. "Hogere beloningen trekken meer onderzoekers aan en resulteren in betere inzendingen." Iedereen kan deelnemen aan HackerOne, ook minderjarigen. Kinderen van 12 jaar en jonger die voor een beloning in aanmerking willen komen zullen dit echter via hun ouders moeten regelen.
Ontwikkelaars krijgen zeven dagen de tijd om op de bugmeldingen die HackerOne doorstuurt te reageren. Als er niet binnen deze periode wordt gereageerd, zal de bugmelding binnen 30 dagen openbaar worden gemaakt. Ook ontwikkelaars die wel reageren krijgen echter 30 dagen de tijd om de gerapporteerde problemen op te lossen. In uitzonderlijke gevallen kan deze deadline tot 180 dagen worden verlengd.
Deze posting is gelocked. Reageren is niet meer mogelijk.