Nieuws

Onderzoek: Hackers verwachten geen beloning bij melden lek

vrijdag 16 december 2016, 14:34 door Redactie, 6 reacties

De meeste hackers verwachten bij het melden van een beveiligingslek in een website of systeem geen beloning. Wel verwachten ze enige vorm van communicatie. Dat blijkt uit onderzoek van het Amerikaanse beveiligingsbedrijf Rapid7 onder 414 beveiligingsonderzoekers over de hele wereld (pdf).

Veruit de meeste hackers en onderzoekers die aan het onderzoek deelnamen (92%) rapporteren beveiligingslekken op verantwoorde wijze. 67 procent licht direct de leverancier in, terwijl 25 procent dit via een derde partij doet. De resterende 8 procent maakt kwetsbaarheden meteen openbaar of maakt hier helemaal geen melding van. Het direct openbaar maken van een kwetsbaarheid wordt vooral gedaan door onderzoekers die gefrustreerd zijn over de communicatie met een leverancier.

De dreiging van juridische stappen is voor 60% van de onderzoekers reden om kwetsbaarheden mogelijk niet direct bij de leverancier te melden. Veel organisaties en bedrijven bieden hackers beloningen voor het rapporteren van beveiligingsproblemen. 85 procent van de ondervraagde onderzoekers en hackers verwacht echter helemaal geen financiële beloning voor hun werk. Wel verwacht 53% een bedankje voor de melding.

Volgens Rapid7 zijn de resultaten van het onderzoek positief, maar is er ook nog een lange weg te gaan. Communicatieproblemen en juridische dreigementen zijn voor veel onderzoekers nog steeds reden tot zorgen. Het beveiligingsbedrijf adviseert dan ook om juridische obstakels te verwijderen, bijvoorbeeld door wetswijzigingen of het opstellen van duidelijk beleid waarin onderzoekers worden gevrijwaard.

Antivirusbedrijf claimt backdoor op miljoenen Androidtelefoons

Man kan 100 jaar cel krijgen voor fraude met malware

Reacties (6)

16-12-2016, 14:52 door Anoniem

precies, wij willen gewoon een 'bedankt'je of op zijn best een saai t-shirt
maar een beloning? nee dat gaat tegen elke realistische verwachting in
doe ff normaal

16-12-2016, 15:09 door Vixen

Ik heb "professioneel" 2 serieuze lekken gemeld (en door mijn melding zijn ze gedicht) op mijn vorige school's computersysteem.
Geen enkel bedankje van de ICTers. Gelukkig wel van enkele docenten die ik ook op de hoogte had gebracht.
Ik vind een bedankje wel belanrijk. En als ik er veel moeite insteek zou ik een beloning ook wel op prijs stellen, bijvoorbeeld een tegoedbon of etc.

Vixen

16-12-2016, 16:09 door Anoniem

Ik geef geen enkel lek meer door sinds Computer CriminaliteitsWet1.
Ze kunnen allemaal omhoog klappen met hun legertje advocaten, "A" zeggen en "B" aanklagen...
Ik zorg dat ik mezelf bescherm en de rest kan stikken.
Sorry, dat is gewoon het gevolg van CCW1, 2 en nu 3...

16-12-2016, 16:39 door karma4

Hacker http://www.thefreedictionary.com/hacker "Computer programmers started using the word hacker in the 1960s as a positive term for a person of skillful programming ability." Jammer dat de betekenis zo snel veranderd. Nu is de betekenis negatief en hackers melden geen lek ze verdienen aan het verkopen van de kennis.

Op het moment dat een advocaten en advieskantoor zoals PWC als enige reactie weet: dreigen met het voor het gerecht te slepen dan is er nog een lange weg te gaan voor een RDCP. http://securityaffairs.co/wordpress/54308/hacking/pricewaterhousecoopers-sap-flaw.html

17-12-2016, 10:06 door Anoniem

Ik besteed mijn tijd alleen aan het zoeken naar vulns in websites of applicaties welke geld opleveren. Waarom zou ik gratis werken? Het zal mij een zorg zijn dat je site of netwerk zo lek als een mandje is.

Vind ik toevallig iets en ben je een miljoenen applicatie dan gaat dat weaponized de exploit-db op. Wellicht zal men dan ooit eens fatsoenlijk testen....

17-12-2016, 23:59 door Anoniem

Ergens ook logisch. Als iemand een lek meldt zet deze de verantwoordelijke voor blok, kan die een uitbrander of ontslag verwachten en als bedrijf is men bang voor imago schade. De boodschap wordt meestal negatief en in schaamte ontvangen en daarom zou men eigenlijk liever de struisvogelmethode willen hanteren. Dan een beloning uitkeren is als zout in een wond, iets wat iemand die een lek meldt ook wel kan begrijpen.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Pick one:

Advertentie

Specialiseer je in Forensisch ICT

Online informatieavond 19 november

Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:

Bachelor Informatica Forensisch ICT (deeltijd)
Master Digital Forensics (vol- en deeltijd)
Module Mobile Forensics
Module Data Analytics

Interesse? Meld je aan!

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

31 reacties

Lees meer