Een Nederlandse onderzoeker heeft bij de beloningsprogramma's die Microsoft onlangs lanceerde de hoogste beloning in de wacht gesleept. De softwaregigant kondigde in juni twee programma's aan waarbij onderzoekers voor het verantwoord melden van lekken betaald werden.

Een unicum voor Microsoft dat voorheen altijd tegenstander was van het betalen voor bugmeldingen. Het eerste programma betrof de testversie van Internet Explorer 11 en duurde 30 dagen. Het andere beloningsprogramma is voor het melden van geheel nieuwe aanvalstechnieken op Windows 8.1. Dit programma loopt nog steeds en kent de hoogste beloning van beide programma's, namelijk 100.000 dollar.

Beloning

Met toestemming van de beveiligingsonderzoekers die bugmeldingen inzonden besloot Microsoft hun namen en de geldprijs die ze hebben ontvangen te publiceren. In totaal is er aan zes beveiligingsonderzoekers een kleine 30.000 dollar aan beloningen uitgekeerd. De hoogste beloning voor een beveiligingslek in de testversie van Internet Explorer 11 waardoor het uitvoeren van willekeurige code mogelijk was ging naar de Nederlandse beveiligingsonderzoeker Peter Vreugdenhil van Exodus Intelligence.

Ook twee onderzoekers van Google wisten kwetsbaarheden in Microsofts nieuwe browser te vinden. Daarbij doneerde Ivan Fratric van het Google Security Team zijn beloning aan Save the Children. Volgens Katie Moussouris van het Microsoft Security Response Center is het een win-winsituatie voor zowel onderzoekers als Microsoft.

Moussouris stelt dat Microsoft dankzij de inzendingen kwetsbaarheden eerder in het proces kan verhelpen, wat een veiligere versie van Internet Explorer oplevert. De softwaregigant is dan ook zeer tevreden over het beloningsprogramma en de reacties uit de hackergemeenschap en laat weten dat er binnenkort meer nieuws zal volgen.