Nextcloud stopt met zijn bug bounty-programma op HackerOne. Reden is de toenemende stroom van generieke, door AI gegenereerde kwetsbaarheidsrapporten die het lastig maakt hoogwaardige meldingen te identificeren. Financiële vergoedingen vervallen volledig, ook voor ernstige kwetsbaarheden. HackerOne blijft wel toegankelijk voor geldige meldingen.

Dat maakte het beveiligingsteam van Nextcloud bekend in een e-mail aan geregistreerde onderzoekers. Volgens het team ontvangt het platform al geruime tijd toenemende aantallen laagkwalitatieve rapporten. “Net als veel andere softwareprojecten ontvangen we al enige tijd een toenemend aantal algemene securityrapporten over AI via platforms zoals HackerOne”, schrijft het Nextcloud Security Team. Dat maakt het lastig om echte, waardevolle meldingen te onderscheiden van generieke AI-uitvoer.

Geen beloningen meer, ook niet voor ernstige kwetsbaarheden

Er worden geen financiële vergoedingen meer uitgekeerd voor ingediende rapporten, ongeacht de ernst van de kwetsbaarheid. Rapporten ingediend vóór 22 april worden nog wel behandeld onder het oude beleid.

Nextcloud lanceerde het bug bounty-programma in 2017 als een actief onderdeel van zijn securitystrategie, gericht op het aantrekken van externe onderzoekers die kwetsbaarheden in het platform opsporen. Via HackerOne ontving het bedrijf in de loop der jaren honderden meldingen van de securitygemeenschap.

HackerOne blijft open voor geldige meldingen

Nextcloud sluit zijn HackerOne-pagina niet. Het platform blijft toegankelijk en het team verwelkomt nog altijd geldige kwetsbaarheidsmeldingen. Alleen de financiële beloningsstructuur vervalt. Onderzoekers kunnen rapporten blijven indienen via hackerone.com/nextcloud, maar ontvangen daar geen vergoeding meer voor.

Het Nextcloud Security Team bedankte de onderzoeksgemeenschap voor de steun in het verleden. “We willen van deze gelegenheid gebruikmaken om de onderzoeksgemeenschap te bedanken voor hun eerdere steun bij het verbeteren van de beveiliging van Nextcloud”, aldus het team. Nextcloud geeft aan te hopen dat de gemeenschap het platform ook zonder financiële prikkel blijft ondersteunen.

Tip: SURF opent Nextcloud-pilot voor meer instellingen