Al geruime tijd betalen security bedrijven onderzoekers die beveiligingslekken vinden. Volgende week start iDefense een nieuw programma waarbij 10.000 dollar wordt uitgeloofd voor Windows lekken die door Microsoft als "critical" worden omschreven.

In 2005 startte het security bedrijf het Vulnerability Contributor Program (VCP), dat nu zal worden uitgebreid. "We willen dat de mensen enthousiast over VCP worden, en dat onderzoekers zich richten op dingen die voor onze klanten belangrijk zijn" zegt Adam Greene.

Er zitten wel wat haken en ogen aan de beloning van 10.000 dollar. De aanbieding eindigt op 31 maart en mag alleen aan iDefense bekend gemaakt worden. Als Microsoft het daarna als een "critical" lek bestempeld, zal het bedrag worden uitbetaald. In de eerste drie maanden van het VCP programma heeft het bedrijf 40.000 dollar aan security onderzoekers uitgekeerd.

Elk kwartaal zal iDefense de regels voor de 10.000 dollar bonus veranderen. "We hebben nog niet nagedacht over het volgende kwartaal, maar in plaats van een bepaalde aanbieder, richten we ons op een bepaald soort lek of produkt. Misschien een browser of e-mail client" gaat Greene verder.

Naast iDefense betalen ook 3Com's TippingPoint en de Mozilla Foundation voor lekken die aan hen gemeld worden. Toch zorgen de beloningsprogramma's nog altijd voor verhitte discussies binnen de security gemeenschap. Volgens sommigen zou het de lijn tussen white en black hat hackers doen vervagen.

Greene laat weten dat men geen zaken doet met onderzoekers die zich met illegale activiteiten bezighouden. Veel van de mensen zouden het juist niet voor het geld doen, maar omdat ze niet met de aanbieders te maken willen hebben door wie ze in het verleden genegeerd werden.