LinkedIn beloont beveiligingsonderzoekers via besloten bug hunting programma

Iedere software bevat fouten. Veel bedrijven werken daarom met een bug hunting programma om dergelijke kwetsbaarheden op een verantwoorde en veilige manier aan het licht te laten brengen, voordat cybercriminelen met problemen aan de haal kunnen gaan. Onderzoekers die problemen netjes bij het bedrijf melden krijgen in dit geval een financiële beloning toegewezen. LinkedIn wijkt met haar werkwijze af van veel andere bedrijven en blijkt een besloten bug hunting programma te hebben geïntroduceerd. Alleen geselecteerde onderzoekers mogen meedoen.

Cory Scott, directeur informatiebeveiliging bij LinkedIn, meldt dat het programma eind vorig jaar is geïntroduceerd. Onderzoekers meldden via security@linkedin.com al langer kwetsbaarheden bij het bedrijf. Veel van deze meldingen bleken onbruikbaar, maar een selecte groep onderzoekers stuurden consequent gedetailleerde meldingen van bugs in. Om deze groep trouwe onderzoekers te belonen is het bug hunting programma in het leven gehouden.

Bewust besloten
Het programma wordt door LinkedIn bewust besloten gehouden. Dit betekent dat alleen geselecteerde onderzoekers kunnen deelnemen aan het programma. Door het programma te beperken tot onderzoekers die zich eerder al bij LinkedIn hebben bewezen is het aantal bruikbare meldingen via het programma relatief hoog. Het programma zou al 65 bugs hebben opgeleverd, waarvoor in totaal 65.000 dollar is uitbetaald aan onderzoekers.

Het feit dat het programma besloten is wil overigens niet zeggen dat niet-geselecteerde onderzoekers geen meldingen kunnen doen bij LinkedIn. Scott roept externe onderzoekers die fouten aantreffen in LinkedIn deze te melden via het e-mailadres security@linkedin.com.