Mozilla geeft hackers 2.400 euro voor Firefox-lekken
Mozilla heeft de beloning die hackers krijgen voor het melden van lekken flink verhoogd, zo liet browserbouwer tijdens Hack in the Box Amsterdam weten. Toen het zes jaar geleden met het beloningsprogramma begon, kregen onderzoekers vijf honderd dollar. Dat is nu 3.000 dollar (2.400 euro) geworden. Sinds 2004 hebben in totaal 80 onderzoekers aan het beloningsprogramma meegedaan, wat 110 kwetsbaarheden opleverde.
Volgens Mozilla's Chris Hoffman, directeur engineering en Speciale Projecten, is de huidige economie van het vinden en verhelpen van beveiligingslekken stuk. Hij wijst daarbij naar de bekende hacker Charlie Miller, die geen gratis bugs meer weggeeft. "Maar bugs zijn voor niemand gratis", merkt Hoffman op. De zwarte markt betaalt voor lekken, gebruikers betalen via een geïnfecteerde computer en de leverancier in kwestie betaalt voor testing en via reputatieschade. De Mozilla topman vindt dat alle bedrijven een beloningsprogramma moeten hanteren.
Wilde Westen
Het melden en repareren van lekken is een lastig proces en moest volgens Mozilla gestroomlijnder. "Er moet een marktplaats voor onderzoekers komen", aldus Hoffman. "We bevinden ons nu in het Wilde Westen, een gevaarlijke plek om in te leven. In plaats van wapens zijn er exploits en iedereen schiet ermee." De hogere beloning moet eraan bijdragen dat onderzoekers sneller naar Mozilla met hun lekken komen.
Hoffman erkent dat sommige partijen 5.000, 10.000 of zelfs 100.000 dollar voor een lek betalen. In die gevallen moet een onderzoeker ook een werkende exploit ontwikkelen, waar veel tijd in gaat zitten. Mozilla stelt lagere eisen, waardoor het bugs eerder ontvangt en kan patchen. Tevens is het niet alleen geïnteresseerd in remote code execution kwetsbaarheden, maar ook lekken die toegang tot persoonlijke informatie geven, zoals creditcardgegevens.
Ontwikkeling
Zelf probeert Mozilla de browser en gebruikers ook veilig te houden. Dat doet het onder andere door betaald personeel met vrijwilligers te combineren. Hofmann maakt duidelijk dat bij Mozilla de gebruikers op de eerste plek staan. "Wij denken aan gebruikers, niet aan aandeelhouders." Daarmee wijst hij naar de andere browserbouwers.
Verder is de softwareontwikkelaar zeer te spreken over het update-mechanisme van Firefox, waardoor 90% van de gebruikers binnen twee weken na het uitbrengen van een update over de laatste versie beschikt.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.