DJI wil dat je zijn drones hackt
De Chinese dronemaker DJI heeft plannen om een soort bug-bountyprogramma op te zetten, het DJI Threat Identification Reward Program. Door middel van een formulier kunnen gebruikers fouten signaleren en daar een beloning voor opstrijken. Hoe kritieker het beveiligingslek, hoe meer duiten DJI wil neertellen, gaande van 100 tot 30.000 euro. Achterliggende gedachte is dat vele handen licht werk maken; door externe hackers uit te nodigen om een kijkje te nemen kunnen bugs worden gevonden die door een intern team over het hoofd worden gezien.
Beveiliging opschroeven
De website is momenteel nog niet werkende, dus het is nog gissen wat we exact mogen verwachten. Op zijn website somde DJI alvast enkele details op. Een formulier is er momenteel nog niet, maar tijdelijk kunnen meldingen worden gestuurd naar een speciaal e-mailadres. Alle fouten mogen daarbij gemeld worden: van simpele bugs tot gevaarlijke beveiligingslekken. De dronefabrikant wil vooral fouten vinden die gebruikersgegevens blootstellen of de vliegveiligheid aantasten.
Naast de DJI Threat Identification Reward Program wil de fabrikant ook samenwerken met beveiligingsexperts en academici, en introduceert het een nieuw goedkeuringsproces voor het keuren van nieuwe software voordat deze op de markt komt.
Bounty hunters
Steeds meer bedrijven zijn op zoek naar bug hunters. Begin dit jaar startte een Belgische start-up, Intigriti, een bugbounty-platform. Bedrijven kunnen er ‘ethische hackers’ vinden die hun software of website willen onderzoeken op eventuele fouten.
Het ethische hacken was in ons land tot voor kort een heet hangijzer. Het ontbrak aan een degelijk wettelijk kader, waardoor ‘goedaardige’ hack-activiteiten op z’n minst in een grijze zone bevonden. De overheid bood vorig jaar verduidelijking, waardoor men voor het ethische hacken en dit soort bugbounty-programma’s een oogje dichtknijpt indien de betrokken onderneming de expliciete toestemming geeft om gehackt te worden.