image

Onderzoek: Hackers verwachten geen beloning bij melden lek

vrijdag 16 december 2016, 14:34 door Redactie, 6 reacties

De meeste hackers verwachten bij het melden van een beveiligingslek in een website of systeem geen beloning. Wel verwachten ze enige vorm van communicatie. Dat blijkt uit onderzoek van het Amerikaanse beveiligingsbedrijf Rapid7 onder 414 beveiligingsonderzoekers over de hele wereld (pdf).

Veruit de meeste hackers en onderzoekers die aan het onderzoek deelnamen (92%) rapporteren beveiligingslekken op verantwoorde wijze. 67 procent licht direct de leverancier in, terwijl 25 procent dit via een derde partij doet. De resterende 8 procent maakt kwetsbaarheden meteen openbaar of maakt hier helemaal geen melding van. Het direct openbaar maken van een kwetsbaarheid wordt vooral gedaan door onderzoekers die gefrustreerd zijn over de communicatie met een leverancier.

De dreiging van juridische stappen is voor 60% van de onderzoekers reden om kwetsbaarheden mogelijk niet direct bij de leverancier te melden. Veel organisaties en bedrijven bieden hackers beloningen voor het rapporteren van beveiligingsproblemen. 85 procent van de ondervraagde onderzoekers en hackers verwacht echter helemaal geen financiële beloning voor hun werk. Wel verwacht 53% een bedankje voor de melding.

Volgens Rapid7 zijn de resultaten van het onderzoek positief, maar is er ook nog een lange weg te gaan. Communicatieproblemen en juridische dreigementen zijn voor veel onderzoekers nog steeds reden tot zorgen. Het beveiligingsbedrijf adviseert dan ook om juridische obstakels te verwijderen, bijvoorbeeld door wetswijzigingen of het opstellen van duidelijk beleid waarin onderzoekers worden gevrijwaard.

Image

Reacties (6)
16-12-2016, 14:52 door Anoniem
precies, wij willen gewoon een 'bedankt'je of op zijn best een saai t-shirt
maar een beloning? nee dat gaat tegen elke realistische verwachting in
doe ff normaal
16-12-2016, 15:09 door Vixen
Ik heb "professioneel" 2 serieuze lekken gemeld (en door mijn melding zijn ze gedicht) op mijn vorige school's computersysteem.
Geen enkel bedankje van de ICTers. Gelukkig wel van enkele docenten die ik ook op de hoogte had gebracht.
Ik vind een bedankje wel belanrijk. En als ik er veel moeite insteek zou ik een beloning ook wel op prijs stellen, bijvoorbeeld een tegoedbon of etc.

Vixen
16-12-2016, 16:09 door Anoniem
Ik geef geen enkel lek meer door sinds Computer CriminaliteitsWet1.
Ze kunnen allemaal omhoog klappen met hun legertje advocaten, "A" zeggen en "B" aanklagen...
Ik zorg dat ik mezelf bescherm en de rest kan stikken.
Sorry, dat is gewoon het gevolg van CCW1, 2 en nu 3...
16-12-2016, 16:39 door karma4
Hacker http://www.thefreedictionary.com/hacker "Computer programmers started using the word hacker in the 1960s as a positive term for a person of skillful programming ability." Jammer dat de betekenis zo snel veranderd. Nu is de betekenis negatief en hackers melden geen lek ze verdienen aan het verkopen van de kennis.

Op het moment dat een advocaten en advieskantoor zoals PWC als enige reactie weet: dreigen met het voor het gerecht te slepen dan is er nog een lange weg te gaan voor een RDCP. http://securityaffairs.co/wordpress/54308/hacking/pricewaterhousecoopers-sap-flaw.html
17-12-2016, 10:06 door Anoniem
Ik besteed mijn tijd alleen aan het zoeken naar vulns in websites of applicaties welke geld opleveren. Waarom zou ik gratis werken? Het zal mij een zorg zijn dat je site of netwerk zo lek als een mandje is.

Vind ik toevallig iets en ben je een miljoenen applicatie dan gaat dat weaponized de exploit-db op. Wellicht zal men dan ooit eens fatsoenlijk testen....
17-12-2016, 23:59 door Anoniem
Ergens ook logisch. Als iemand een lek meldt zet deze de verantwoordelijke voor blok, kan die een uitbrander of ontslag verwachten en als bedrijf is men bang voor imago schade. De boodschap wordt meestal negatief en in schaamte ontvangen en daarom zou men eigenlijk liever de struisvogelmethode willen hanteren. Dan een beloning uitkeren is als zout in een wond, iets wat iemand die een lek meldt ook wel kan begrijpen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.