Nieuws

Beveiligingsbedrijf looft 500.000 dollar uit voor iOS-lek

woensdag 10 augustus 2016, 17:36 door Redactie, 7 reacties

Een week nadat Apple bekendmaakte dat het onderzoekers en hackers maximaal 200.000 dollar gaat betalen voor het melden van ernstige beveiligingslekken komt een ander bedrijf met een beloningsprogramma dat maximaal 500.000 dollar voor dergelijke kwetsbaarheden uitlooft.

Het geldbedrag wordt door Exodus Intelligence aangeboden. Dit bedrijf koopt onbekende kwetsbaarheden van onderzoekers en deelt deze gegevens vervolgens met klanten, waaronder inlichtingendiensten. Onder het nu gelanceerde Research Sponsorship Programma (RSP) kunnen onderzoekers 500.000 dollar voor onbekende iOS-lekken krijgen en 125.000 dollar voor kwetsbaarheden in Microsoft Edge.

Tevens heeft Exodus Intelligence een nieuw bonusprogramma aangekondigd. Voor elke onbekende kwetsbaarheid die het bedrijf inkoopt zal de betreffende onderzoeker elk kwartaal dat het beveiligingslek niet door de verantwoordelijke fabrikant is gepatcht een bonusbetaling ontvangen. Daarnaast kunnen onderzoekers ervoor kiezen hun betalingen in bitcoin of via Western Union te ontvangen.

Opera-update voor Windows XP- en Vista-gebruikers

Onderzoek: datanetwerken achilleshiel slimme auto's

Reacties (7)

10-08-2016, 20:06 door Anoniem

Beetje raar verhaal lijkt me zo. Ik vind een o-day lek, dat delen ze dan met de NSA (en derden)
die het kunnen uitbuiten. Ik krijg ervoor betaald, en als bijvoobeeld een fabrikant te laat is met
een patch dan krijg ik een bonus. Zullen de opsporingsdiensten niet echt leuk want dan hebben
die ook gelijk niks meer aan een exploit. Of zou het zitten in het kwartaal gedeelte dus maar 4
maal per jaar.

Het zou veel beter zijn de o-day's niet te delen met opsporingsdiensten en de desbetreffende
fabrikant 3 a 4 werkdagen de tijd te geven om te patchen. Zoniet gelijk in het nieuws brengen
en op een blacklist zetten. En wij maar de dupe worden van onveilige systemen en/of software.

Maar ook instancies als de NSA hebben hun eigen mensen in dienst die zoeken naar exploits, die
ze dan gaan uitbuiten.

11-08-2016, 00:24 door Anoniem

Door Anoniem: Beetje raar verhaal lijkt me zo. Ik vind een o-day lek, dat delen ze dan met de NSA (en derden)
die het kunnen uitbuiten. Ik krijg ervoor betaald, en als bijvoobeeld een fabrikant te laat is met
een patch dan krijg ik een bonus. Zullen de opsporingsdiensten niet echt leuk want dan hebben
die ook gelijk niks meer aan een exploit. Of zou het zitten in het kwartaal gedeelte dus maar 4
maal per jaar.

Het zou veel beter zijn de o-day's niet te delen met opsporingsdiensten en de desbetreffende
fabrikant 3 a 4 werkdagen de tijd te geven om te patchen. Zoniet gelijk in het nieuws brengen
en op een blacklist zetten. En wij maar de dupe worden van onveilige systemen en/of software.

Maar ook instancies als de NSA hebben hun eigen mensen in dienst die zoeken naar exploits, die
ze dan gaan uitbuiten.

Ik ben afgehaakt na de eerste paragraaf, nogal onsamenhangend verhaal.

11-08-2016, 03:16 door Anoniem

Hoezo raar verhaal? Men verkoopt dit aan o.a. de NSA om offensief in te zetten en eventueel zichzelf te beschermen maar dat is meestal secundair. De bonus krijg je zolang het lek bestaat. Hierdoor voorkomt men dat de onderzoeker na betaling het lek publiceert of doorgeeft aan de leverancier.

Men kiest dus nationale veiligheid en economische voordelen boven software veiligheid.

11-08-2016, 09:07 door Anoniem

Exodus Intelligence verkoopt de gevonden 0-day aan de NSA en andere klanten van het bedrijf, ze moeten tenslotte de investering terug verdienen. Aanvullend zullen ze in het contract hebben afgesproken dat ze elk kwartaal dat de kwetsbaarheid niet is opgelost, en dus nog bruikbaar is voor hun klanten, een bepaald bedrag in rekening brengen. De onderzoeker krijgt een deel van dit bedrag als stimulans om het niet te melden bij de betreffende fabrikant, al dan niet via een bevriend onderzoeker.

Nog steeds een raar verhaal?

11-08-2016, 10:06 door Anoniem

Ik ben eigenlijk wel benieuwd wie dan die andere klanten zijn.

11-08-2016, 15:07 door Anoniem

Zou je zo'n lek dan ook mogen verkopen aan de NSA bijvoorbeeld en andere klanten:

Sleutelsysteem miljoenen auto's Volkswagen Group gekraakt

14-08-2016, 14:17 door Anoniem

Wanneer een hacker dit doet wordt hij/zij bestraft. Wanneer je dit in naam van een bedrijf doet en inlichtelingendiensten helpt dan wordt je beschermd door de super court. Deze wereld is echt fucking nep.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer