Microsoft nyní po omezenou dobu vyplatí lovcům odměn za chyby až 30,000 XNUMX dolarů

Během několika posledních týdnů Google dvakrát uvedl Microsoft do rozpaků tím, že zveřejnil informace o bezpečnostních slabinách ve Windows 10, než byl Microsoft připraven je opravit.

Microsoft nyní zareagoval zdvojnásobením odměny za chyby na omezenou dobu, což znamená, že bezpečnostní výzkumníci mohou vydělat až 30,000 1 $, pokud najdou vážnou chybu v určitých službách Microsoftu od 31. března do 2017. května XNUMX.

Chyby nalezené výzkumnými pracovníky placenými Microsoftem by Microsoftu poskytlo větší kontrolu nad procesem odhalování a umožnilo by mu, aby si sám upřednostnil opravy, než aby byl nucen 3měsíčním plánem, který většina nezávislých výzkumníků používá před zveřejněním.

Společnost Microsoft nabízí odměny za služby v následujících doménách:

• portál.office.com
• outlook.office365.com
• outlook.office.com
• *.outlook.com
• outlook.com

Celkový seznam zahrnuje 18 domén a dalších 37 způsobilých koncových bodů, na které se vztahuje standardní bug bounty.

Microsoft chce, aby výzkumníci hledali devět různých typů chyb, včetně:

• Cross Site Scripting (XSS)
• Cross Site Request Forgery (CSRF)
• Neoprávněná manipulace s daty nebo přístup mezi klienty (u služeb pro více tenantů)
• Nezabezpečené přímé odkazy na objekt
• Zranitelnost vstřikování
• Chyby zabezpečení
• Spouštění kódu na straně serveru
• Privilege eskalace
• Významná chybná konfigurace zabezpečení (pokud není způsobena uživatelem)

I když 30,000 200,000 dolarů může znít jako hodně, bezpečnostní výzkumníci mohou být mnohem více odměněni prodejem svého nálezu na Dark Net, uvádí Enterprise Times s tím, že zranitelnost Zero Day může vynést až XNUMX XNUMX dolarů a že výzkumníci mohou vydělat ještě více, pokud vyvinou chybu a prodat ji jako součást platformy Malware as a Service. To by bylo samozřejmě vysoce nezákonné.

Výzkumníci, kteří nejsou na temné straně, si mohou přečíst více o systému odměn na Technet zde.