Door de levendige handel in onbekende beveiligingslekken kon Microsoft niet achterblijven met een eigen beloningsprogramma, en dat is goed nieuws voor hackers en onderzoekers die problemen in de software van de reus uit Redmond vinden. Dat stelt beveiligingsexpert Robert Graham. Microsoft volgt in de voetsporen van Google, Mozilla en anderen die beloningen voor lekken uitloven.

Voorheen werden hackers die kwetsbaarheden in bijvoorbeeld Windows of Internet Explorer ontdekten alleen bedankt via een naamsvermelding in de Security Bulletin waarmee het probleem werd opgelost. De afgelopen jaren verschenen verschillende marktplaatsen waar onderzoekers gevonden kwetsbaarheden kunnen aanbieden.

Handel
In plaats van een naamsvermelding is het mogelijk om een lek aan een geinteresseerde partij te verkopen, zoals Russische cybercriminelen, Chinese spionnen of de cybersoldaten van de NSA, aldus Graham. "De juiste bug, voor de juiste klant op het juiste moment kan 1 miljoen dollar waard zijn", merkt de expert op. Hij stelt dat zelfs matige bugs nog steeds 10.000 dollar kunnen opleveren.

"Dit betekent dat Microsoft er niet langer op kan rekenen dat mensen lekken rapporteren, ze moeten tegen de Russen, Chinezen en Amerikanen bieden."

Risico
De beloningen van leveranciers zoals Microsoft en Google zijn lager dan de 'marktwaarde', en dat is volgens Graham niet zonder reden. "Als je aan de Russen verkoopt, kan jezelf of een familielid worden ontvoerd. Als je aan de NSA verkoopt, kan het zijn dat de FBI je huis binnenvalt."

Een andere optie is het verkopen van een lek aan een tussenpersoon, die ook een deel van de opbrengst wil. "Dus de veiligste en betrouwbaarste route is het verkopen van je bug aan de leverancier, zelfs voor een fractie van de prijs", besluit Graham.