Hacker får en halv million for kur mod sikkerhedsbrist

Microsoft har udbetalt 100.000 dollar til en hackerekspert for at finde en løsning, der kan hjælpe virksomhed med at undgå en række angreb på selskabets Windows-platform.

I et af Microsoft belønningsprogrammer til folk, der identificerer fejl i selskabets systemer eller påpeger muligheder at undgå angreb på, har selskabet udbetalt 100.000 dollar til en hackerekspert. Arkivfoto: Jagadeesh NV / Scanpix Fold sammen
Læs mere
Foto: JAGADEESH NV
Lyt til artiklen

Vil du lytte videre?

Få et Digital Plus-abonnement og lyt videre med det samme.

Skift abonnement

Med Digital Plus kan du lytte til artikler. Du får adgang med det samme.

Jagten på sikkerhedshuller i teknologiselskabernes systemer kan give bonus, hvis man har særlig indsigt i de tekniske kroge i deres programmer og kan finde særligt sårbare fejl.

Flere teknologiselskaber har indført belønningsprogrammer, der ofte går under navnet »bug bounty« programmer og netop er skabt for at belønne de personer, der indberetter fejl i systemerne eller løsninger til at undgå angreb og dermed medvirker til at kunne holde dem opdateret.

Og nu har det amerikanske softwareselskab Microsoft for første gang via dets bug bounty program udbetalt 100.000 dollar - svarende til cirka 549.000 kroner - til en hackerekspert fra den London-baserede IT-sikkerhedsvirksomhed Context Information Security, skriver nyhedsbureauet Reuters - og betegner det som en af de største udbetalinger af den slags foretaget af en teknologivirksomhed.

Det sker på baggrund af, at han i Microsofts styresystem Windows har identificeret en måde, der gør det muligt for selskabet at undgå en serie af angreb - og ikke alene fundet et enkeltstående sikkerhedshul.

Den pågældende hackerekspert James Forshaw fra Context Information Security har tidligere hentet en belønning fra Microsoft på 9.400 dollar - svarende til knap 52.000 kroner - for at finde en fejl i en tidligere udgivelse af Microsofts internetbrowser Internet Explorer, oplyser Microsoft ifølge Reuters.

Microsoft skriver selv på en af selskabets officielle blogs »BlueHat Blog«, at selskabet ikke kan oplyse yderligere tekniske detaljer om de ny opdagelser, før selskabet har løst problemet.

Her forklarer selskabet, at det netop har valgt at udbetale så stor en sum for hackerekspertens beretninger, fordi der er tale om en opdagelse, der gør det muligt for Microsoft at undgå en række angreb - og gøre det sværere at udnytte sikkerhedshuller i alle typer software, der kører på Windows-platformen. 

Der er generelt kommet fokus i teknologiselskaber på at udvikle såkaldte »bug bounty«-programmer. Ifølge PCmag.com tilbyder det sociale netværk Facebook eksempelvis fra 500 for opdagede sårbarheder i systemet og har indtil videre udbetalt over en million dollar via selskabets bug-program. Googles beløb spænder fra 100 dollar for mere almindelige fejl til op til 20.000 dollar for højrisiko-bugs.

Og på hjemmesiden Bugcrowd er der lavet en liste, som opdeler programmerne i, hvilket der tilbyder pengebelønninger, en særlig status i miljøet eller ingenting.

Yahoo i T-shirt-belønnings-ballade

I den forløbne uge måtte internetselskabet Yahoo da også konstatere, at der blandt hackereksperter og andre, der formår at identificere fejl i deres systemer, efterhånden forventes lidt mere end blot »tak for hjælpen«, når det sker.

Selskabet kom netop i vælten for at være lidt for fedtet med belønningerne, fordi selskabets direktør for sikkerhedsteamet Yahoo Paranoids Ramses Martinez efter tidligere at have sendt en T-shirt til folk, der indberettede fejl - ændrede den praksis til et gavekort på 12,50 dollar - eller knap 70 kroner - som skulle bruges i Yahoo Company Store, hvor selskabet sælger T-shirt, kopper, kuglepenne og andre Yahoo-accessories.

Efter kritik for den praksis meldte selskabet så i den forløbne uge ud, at det fra 31. oktober vil indføre et nyt belønningsprogram, hvor de privatpersoner eller firmaer, som identificere, hvad Yahoo beskriver som »nye, unikke og / eller højrisikoområder i selskabets tjenester, vil kunne gøre sig fortjent til at blive belønnet med en sum mellem 150 og 15.000 dollar - svarende til et beløb mellem cirka 820 og 82.000 kroner.