Mozilla beloont eerste bugjagers

Ontdekking van ernstige beveiligingsfout is 500 dollar waard

14 september 2004 | Stijn Wuyts Een maand na de lancering van het Security Bug Bounty Program betaalt de openbronorganisatie Mozilla de eerste beloningen uit. Vier programmeurs krijgen elk 500 dollar voor de ontdekking van een grote beveiligingsfout in Mozilla-software. De organisatie wil hiermee aantonen dat ze de veiligheid van z'n producten ernstig neemt.

Het Security Bug Bounty Program wil programmeurs aansporen om de broncode van Mozilla-software te besturen en eventuele fouten aan de organisatie te melden. Wie een ernstige fout ontdekt, waarbij mogelijk gevaarlijke code uitgevoerd kan worden of confidentiële gebruikersinformatie zichtbaar wordt, krijgt 500 dollar en een T-shirt van de organisatie.

Vandaag kondigt Mozilla aan dat ze de eerste uitbetalingen in het kader van het programma deed. Marcel Boesch, Gael Delalleau, Georgi Guninski en Mats Palmgren zijn de eerste onderzoekers die voor het ontdekken van een beveiligingslek in de Mozilla-browser of e-mailclient een beloning krijgen.

"Ik vind de kwaliteit van de code over het algemeen erg goed", zegt Delalleau, een beveiligingsexpert van Zencom Secure Solutions. "Ik bestudeerde andere delen van de code zonder iets te vinden, voor ik me op de POP3-module richtte." Delalleau ontdekte uiteindelijk een bug in de Mozilla-mailclient. Eén van de andere winnaars, Mats Palmgren, stortte zijn beloning terug aan de organisatie om toekomstige uitbetalingen te ondersteunen.

Mozilla lanceerde het beloningsprogramma op 2 augustus dankzij een fonds ter waarde van 10.000 dollar van openbronvrijwilligers, Linux-distributeur Linspire en de Zuid-Afrikaanse ondernemer Mark Shuttleworth, oprichter van certificatenbedrijf Thawte. De organisatie vraagt om extra giften om het onderzoek te kunnen blijven aanmoedigen. Voor iedere dollar die een sponsor stort, doet Shuttleworth er bovendien nog eentje bovenop.

Softwaregigant Microsoft heeft een gelijkaardig beloningsprogramma, het Anti-Virus Reward Program. Het bedrijf deelt 250.000 dollar uit aan wie tips levert die leiden naar de schrijvers van virussen voor het Windows-besturingssysteem. Microsoft lanceerde de campagne met een fonds van 5 miljoen dollar in november 2003. Gisteren raakte echter bekend dat de eerste tipgevers die volgens het programma recht hebben op een beloning, nog even op hun geld moeten wachten. Microsoft betaalt pas als de virusschrijver effectief veroordeeld is. Ondanks het tipgeld zijn de makers van MSBlast, Sobig en MyDoom nog altijd niet gevonden. Lees meer artikels over : mozilla, linux, bug, bounty, beloning, beveiliging, security

bron: ZDNet