Microsoft heeft zijn allereerste bonussen uitgekeerd voor de bugvinders van Internet Explorer 11. Daartussen zat ook de Nederlandse securityexpert Peter Vreugdenhil. “Het is een interne strijd geweest bij Microsoft.”
Ook Microsoft is overstag gegaan met het uitkeren van beloningen aan beveiligingsonderzoekers die gaten kunnen vinden in software voor de publieke release. Na deze breuk met het verleden bood Microsoft drie programma’s voor exploitpremies. Eén daarvan betrof Internet Explorer 11 Preview, draaiende op de bèta van Windows 8.1. In totaal waren zes onderzoekers succesvol in het vinden van 15 verschillende bugs. Zij ontvingen samen 28.000 dollar.
De Nederlander Peter Vreugdenhil van beveiligingsbedrijf Exodus Intelligence was één van hen. Vreugdenhil – die in 2010 tijdens een hackwedstrijd op CanSecWest Windows 7 wist te kraken via Internet Explorer zonder plugin te misbruiken – kreeg het dit keer voor elkaar om een werkzame exploit te schrijven voor de nieuwste versie van de Microsoft-browser.
‘Instabiele exploit’
“Ik had vier dagen voor de deadline tijd om naar de code te kijken. Uiteindelijk leverde ik 5 minuten voor tijd mijn exploit in. Normaal gesproken delen wij dit soort zaken met de klanten van onze beveiligingsfirma, maar omdat het hier om een instabiele exploit ging, besloot ik mee te doen”, zegt Vreugdenhil in een reactie aan Webwereld. Het gewonnen bedrag noemt hij “niet relevant”, maar een simpel rekensommetje zegt dat dit bedrag zo’n 9300 dollar moet zijn.
De specialist is in ieder geval blij met het nieuwe bugbeleid van Microsoft. Vreugdenhil: “Het is een lange interne strijd geweest bij Microsoft om te zien dat dit loont. Het kostenplaatje bij de oude situatie lag veel hoger en zorgde voor veel stress. Ik denk zeker dat zij dit vaker gaan doen, bijvoorbeeld met de releases van de volgende Internet Explorer of de nieuwe Office. Microsoft ziet dit als een succes.”