Nextcloud stopt met bug bounty na te veel slechte rapporten

In dit artikel:

Nextcloud stopt met het uitbetalen van beloningen binnen zijn bug bounty-programma op HackerOne. In een e-mail aan geregistreerde onderzoekers legt het beveiligingsteam uit dat een groeiende stroom laagwaardige, vaak door AI gegenereerde kwetsbaarheidsrapporten het steeds lastiger maakt om echte, nuttige meldingen te onderscheiden. Daardoor vervallen voortaan alle financiële vergoedingen, ook voor ernstige kwetsbaarheden.

Het bug bounty-programma liep sinds 2017 en leverde in de jaren daarvoor honderden meldingen op via HackerOne. Nextcloud sluit de HackerOne-pagina niet: onderzoeksters en onderzoekers kunnen blijven rapporteren via hackerone.com/nextcloud, maar zullen geen vergoeding meer ontvangen. Meldingen die vóór 22 april zijn ingediend, worden nog volgens het oude beloningsbeleid behandeld.

Het securityteam bedankt de onderzoeksgemeenschap voor eerdere bijdragen en hoopt dat goede onderzoekers ook zonder financiële prikkel blijven helpen de beveiliging van Nextcloud te verbeteren. Volgens Nextcloud is dit probleem niet uniek; veel softwareprojecten zien een toename van generieke AI-uitvoer in securityrapporten, wat organisaties dwingt hun belonings- en triagebeleid aan te passen.