jan-karel.nl
Home / ethical hacker / penetratietester / Pentest-methodologie / Geld Verdienen met Andermans Bugs
Bug Bounty Responsible Disclosure Ethisch Hacken

Geld Verdienen met Andermans Bugs

Er is iets fundamenteel bijzonders aan een systeem waarin bedrijven hackers betalen om hun beveiliging te testen. Het is alsof een bank zegt: "Probeer maar in te breken. Als het lukt, krijg je een beloning." Het klinkt als een grap, maar het is een van de effectiefste beveiligingsmaatregelen die we hebben.

Hoe werkt een bug bounty?

Een organisatie publiceert een programma: "Dit zijn onze systemen. Dit zijn de regels. Als je een kwetsbaarheid vindt en het op de juiste manier meldt, betalen we je." De beloningen variëren van een paar honderd euro voor een minder ernstige bug tot honderdduizenden voor kritieke kwetsbaarheden in grote platformen.

Platformen als HackerOne, Bugcrowd en Intigriti fungeren als tussenpersoon. Ze beheren de communicatie, valideren de bevindingen en regelen de betaling. Het is freelancen, maar dan met meer adrenaline en minder vergaderingen.

Responsible disclosure: de etiquette

Responsible disclosure is het proces van het vinden en melden van kwetsbaarheden op een manier die de eigenaar de kans geeft om het probleem op te lossen voordat het publiek wordt. In Nederland hebben we daar zelfs een leidraad voor, opgesteld door het NCSC.

De basisregels:

  • Meld de kwetsbaarheid aan de eigenaar, niet aan de pers, niet op Twitter, niet op een forum.
  • Geef redelijke tijd om het te fixen. Standaard is 90 dagen, maar dat kan variëren.
  • Doe niet meer dan nodig om de kwetsbaarheid aan te tonen. Bewijs dat je erbij kunt, maar download niet de hele database.
  • Verwijder alle data die je tijdens het testen hebt verkregen.
  • Ga niet publiek voordat de fix is doorgevoerd of de afgesproken termijn is verstreken.

Coordinated Vulnerability Disclosure in Nederland

Nederland loopt internationaal voorop in het normaliseren van responsible disclosure. Het NCSC heeft een leidraad gepubliceerd die zowel melders als organisaties beschermt. Het OM heeft richtlijnen die stellen dat ethisch handelen volgens de leidraad in principe niet wordt vervolgd. Steeds meer organisaties publiceren een security.txt op hun website die precies beschrijft hoe je een kwetsbaarheid kunt melden.

Het is niet perfect. Er zijn nog steeds organisaties die dreigen met juridische stappen als je een kwetsbaarheid meldt. Maar de trend is positief, en Nederland is een van de betere landen om als ethisch hacker te opereren.

Hoe begin je?

  1. Leer de basis. OWASP Top 10, API Security, Burp Suite, basale netwerk-concepten.
  2. Oefen op labs. HackTheBox, TryHackMe, PortSwigger Web Security Academy — platforms waar je legaal kunt oefenen.
  3. Begin met brede programma's. Grote bedrijven als Google, Microsoft en Meta hebben uitgebreide bug-bounty-programma's met duidelijke regels.
  4. Specialiseer. Word goed in één ding: IDOR's, SSRF, Android-apps, OAuth-flows. Generalisten vinden bugs. Specialisten vinden de bugs die de generalisten missen.
  5. Documenteer alles. Een goed geschreven rapport vergroot je kans op een hogere beloning aanzienlijk.

Bug bounty is geen vervanging voor een pentest. Een pentest is gestructureerd, tijdsgebonden en dekkend. Bug bounty is continu, ongestructureerd en opportunistisch. De slimme organisatie doet beide: een pentest voor de zekerheid, bug bounty voor de verrassing.

Op de hoogte blijven?

Ontvang maandelijks cybersecurity-inzichten in je inbox.

← Pentest-methodologie ← Home