Het betalen van hackers en onderzoekers voor het vinden van beveiligingslekken is een veel betere investering dan het aannemen van personeel om dit te doen, zo blijkt uit nieuw onderzoek. Google en Mozilla betaalden de afgelopen drie jaar bij elkaar meer dan 1 miljoen dollar aan externe onderzoekers en hackers voor het rapporteren van onbekende kwetsbaarheden in de software.
In het geval van Google werden 501 beloningen uitgedeeld, terwijl Mozilla 190 keer geld naar een onderzoeker overmaakte. Een zeer kosteneffectieve maatregel, want een Noord-Amerikaanse ontwikkelaar kost een bedrijf op jaarbasis 100.000 dollar, met een overhead van 50%.
"We zien dat de kosten van deze beloningsprogramma's vergelijkbaar zijn met de kosten van slechts één lid van het browser security-team", aldus de onderzoekers. Daarbij blijkt dat het programma van Google het meeste oplevert. Hoewel Google en Mozilla elk hetzelfde bedrag aan externe onderzoekers betaalden, ontvangt Google meer inzendingen.
Effectief
Mozilla betaalt voor ernstige lekken een vast bedrag van 3.000 dollar, terwijl Google met een schaal tussen de 500 en 10.000 dollar werkt. Daarnaast heeft het een speciale wedstrijd, Pwnium, waarbij onderzoekers nog veel hogere geldprijzen kunnen verdienen en dat blijkt aanstekelijk te werken.
Ondanks de voordelen van deze programma's worden ze nog niet door alle bedrijven omarmd. Adobe en Oracle betalen onderzoekers nog niet voor het melden van lekken. Onlangs kondigde Microsoft voor het eerst een beloningsprogramma aan, wat volgens de softwaregigant al een groot succes is gebleken.
Niet alleen fungeren de hackers en onderzoekers als goedkope arbeidskrachten, het voordeel is ook dat het aantal lekken afneemt dat aan cybercriminelen wordt verkocht, die de informatie kunnen gebruiken om gebruikers van de software aan te vallen. De onderzoekers hopen dan ook dat meer bedrijven een beloningsprogramma zullen uitrollen en dat Mozilla het model van Google gaat omarmen.
Deze posting is gelocked. Reageren is niet meer mogelijk.