Waarom Europa hackers betaalt om mediaspeler VLC te kraken
De Europese Commissie heeft zijn eerste bug bounty-programma opgezet. Daarbij worden hackers uitgenodigd om op zoek te gaan naar beveiligingsgaten in software. Niet om de veiligheid van de eigen IT-infrastructuur van de Commissie te verbeteren, maar om fouten op te sporen in de populaire mediaspeler VLC.
Tot half januari kunnen hackers en beveiligingsonderzoekers hun gevonden fouten bekend maken om kans te maken op een beloning. Die kan oplopen van 100 tot 3.000 euro, afhankelijk hoe hoog het risico van het lek wordt ingeschat door VLC’s eigen beveiligingsteam.
HackerOne meldt dat het programma in eerste instantie voor een selecte groep bounty hunters beschikbaar wordt gesteld, gebaseerd op hun eerdere opsporingswerk en reputatie. Op een later moment zal het programma publiek worden gemaakt, zodat iedereen zich kan aanmelden.
Europese sponsoring
Waarom stopt de Europese Commissie geld in het verbeteren van de beveiliging van VLC?
Het programma kadert in het Free and Open Source Software Auditing (FOSSA)-project dat twee jaar geleden werd opgezet om de veiligheid te verbeteren van gratis opensource software die wordt gebruikt binnen de Europese instituten. Europa trok vorig jaar het budget voor dat project op van 1 naar 1,9 miljoen euro om ruimte te maken voor een bug bounty-programma.
“Softwarefouten worden gebruikt door criminelen om in computers en ICT-netwerken te infiltreren. De Europese instituties moeten doen wat ze kunnen voor een robuuste bescherming. Een bug bounty-programma stimuleert de ontdekking van softwarefouten door het uitgeven van financiële beloningen aan elke beveiligingsonderzoeker die zo’n bug ontdekt”, motiveerde Europarlementslid Marietje Schaake (ALDE) de uitbreiding van FOSSA destijds.