Microsoft vil nu udbetale op til $30,000 for bug-dusørjægere i en begrænset periode

I løbet af de sidste par uger har Google generet Microsoft to gange ved at frigive oplysninger om sikkerhedssårbarheder i Windows 10, før Microsoft var klar til at reparere dem.

Microsoft har nu reageret ved at fordoble deres bug-bounty i en begrænset periode, hvilket betyder, at sikkerhedsforskere kan tjene op til $30,000, hvis de finder en alvorlig fejl i visse Microsoft-tjenester fra den 1. marts til den 31. maj 2017.

At have fundet fejl af forskere betalt af Microsoft ville give Microsoft mere kontrol over offentliggørelsesprocessen og lade dem selv prioritere rettelser i stedet for at blive tvunget af den 3-måneders tidsplan, som de fleste uafhængige forskere bruger før offentlig offentliggørelse.

Microsoft tilbyder belønninger for tjenester på følgende domæner:

• portal.office.com
• outlook.office365.com
• outlook.office.com
• * .outlook.com
• outlook.com

Den samlede liste inkluderer 18 domæner og yderligere 37 kvalificerede endepunkter, der er dækket af standard bug bounty.

Microsoft vil have forskere til at lede efter ni forskellige typer fejl, herunder:

• Cross Site Scripting (XSS)
• Cross Site Request Forgery (CSRF)
• Uautoriseret manipulation eller adgang til data på tværs af lejere (for tjenester med flere lejere)
• Usikre direkte objektreferencer
• Injection sårbarheder
• Autentificeringssårbarheder
• Kodeudførelse på serversiden
• Privilegie-eskalering
• Betydelig sikkerhedsfejlkonfiguration (når den ikke er forårsaget af brugeren)

Selvom $30,000 kan lyde af meget, kan sikkerhedsforskere blive belønnet meget mere ved at sælge deres fund på Dark Net, rapporterer Enterprise Times, der bemærker, at en Zero Day-sårbarhed kan indbringe så meget som $200,000, og at forskere kan tjene endnu mere, hvis de udvikler fejlen og sælg den som en del af en Malware as a Service-platform. Dette ville naturligvis være yderst ulovligt.

Forskere, der ikke er på den mørke side, kan læse mere om dusørsystemet hos Technet her.