* chips en bier doen pakken *

Hoeveel betalen ze aan bounty?

Jaren geleden werkte ik bij een IT-bedrijf dat aanwezig was bij een presentatie van een nieuwe versie van een bekend boekhoudprogramma (ik ga geen naam noemen en waarom wordt zo duidelijk).

Bij de presentatie werd er opgeschept over de beveiliging en alle aanwezigen werden uitgedaagd deze te kraken en er werd zelfs een leuk bedrag in het vooruitzicht gesteld als je dat lukte. Onze directeur vond dat een leuke uitdaging en liet een programmeur los om dit te proberen. Na een paar uurtjes was dat gelukt (in plaats van de beveiliging te kraken vond hij een manier om er omheen te lopen o.i.d.).

We namen contact op met de directie van het boekhoudprogramma om te vertellen dat de beveiliging gekraakt was in de veronderstelling de geldprijs te kunnen ontvangen en dat de kennis gebruikt zou worden om het pakket beter te beveiligen.

In plaats daarvan werden we bedreigd en gedwongen om iets te tekenen waarin we beloofden de hack niet openbaar te maken en nooit iets te vertellen hierover. De geldprijs hebben we uiteraard nooit ontvangen.

Wat hebben jullie liever een bedrijf dat GEEN effort stopt in een (open of gesloten) pen test.. of een bedrijf wat dat wel doet?

juist.
Mocht er inderdaad een vulnerablity worden gevonden, dan kan die netjes gedicht worden en wordt (waarschijnlijk) de vinder beloond. Iedereen blij. De consument door een veiliger product, de vinder door zijn beloning, en RAET doordat er geen negatieve publicteit is geweest door de hack.

3x winst.

Waarom zou je zoiets willen kraken. Iedereen heeft zijn mobiel in de hand, dus is het voor gauwdieven veel handiger. Vlug de telefoon meegraaien en klaar is kees. Levert vast ook meer op, OV-kaart, pinpas en toestel kunnen tegelde worden gemaakt.