Het beloningsprogramma van Facebook en Microsoft om lekken in veel gebruikte internetsoftware op te lossen heeft vandaag voor het eerst een beloning van 10.000 dollar uitgekeerd aan een onderzoeker die een zero-day-lek in Adobe Flash Player rapporteerde dat actief door aanvallers werd gebruikt.

Het programma heet HackerOne en werd vorig jaar november gelanceerd. Het idee achter het programma is het veiliger maken van de software die dagelijks miljoenen mensen op het internet gebruiken. In eerste instantie werden er alleen beloningen uitgekeerd voor kwetsbaarheden in Python, Ruby, PHP, OpenSSL, Django, Rails, Perl, Phabricator, Nginx en Apache httpd. Sinds kort is echter ook Adobe Flash Player aan de lijst met softwareprojecten toegevoegd.

Microsoft en Facebook sponsoren het programma, maar de regels ervan zijn opgesteld door een panel van vrijwilligers uit de security-gemeenschap. Het panel bestaat uit 10 vrijwilligers, waarvan vier Microsoftwerknemers, drie Facebookwerknemers en drie mensen die voor Etsy, Google en iSEC Partners werken. De vrijwilligers spreken echter op eigen titel.

Held

Volgens Chris Evans van Google is David Rude, de onderzoeker die het lek rapporteerde, een held. "Dit lek werd ontdekt toen het actief door aanvallers werd gebruikt", aldus Evans. Hij wijst naar een onderzoek van het Canadese Citizen Lab, waaruit zou blijken dat de exploit was gebruikt voor het aanvallen van journalisten en door regimes met slechte mensenrechten zou zijn ingezet. "Het oplossen van dit lek is een dienst voor alle internetgebruikers, democratie en mensenrechten."

Evans merkt op dat Rude het lek niet zelf heeft ontdekt, maar wel dat iemand anders hier misbruik van maakte. Bij het bepalen van de beloning wordt echter vooral gekeken of het onderzoek of melding het internet in het algemeen veiliger maken en dat was in het geval van Rude zeker zo. Het lek werd afgelopen december door Adobe gepatcht.