Microsoft ahora pagará hasta $ 30,000 por cazarrecompensas de errores por tiempo limitado

Inicio » Microsoft

Icono de tiempo de lectura 2 minuto. leer

Icono de calendario Publicado el

by Surur Davids 

Publicado en

Compartir este artículo

Los lectores ayudan a respaldar a MSpoweruser. Es posible que obtengamos una comisión si compra a través de nuestros enlaces. Icono de información sobre herramientas

Lea nuestra página de divulgación para descubrir cómo puede ayudar a MSPoweruser a sostener el equipo editorial. Leer más

En las últimas semanas, Google ha avergonzado a Microsoft dos veces al publicar información sobre vulnerabilidades de seguridad en Windows 10 antes de que Microsoft estuviera listo para parchearlos.

Microsoft ahora ha respondido duplicando su recompensa por errores durante un período limitado, lo que significa que los investigadores de seguridad pueden ganar hasta $ 30,000 si encuentran un error grave en ciertos servicios de Microsoft desde el 1 de marzo hasta el 31 de mayo de 2017.

Tener errores encontrados por investigadores pagados por Microsoft le daría a Microsoft más control sobre el proceso de divulgación y les permitiría priorizar las correcciones, en lugar de verse obligados por el cronograma de 3 meses que la mayoría de los investigadores independientes usan antes de la divulgación pública.

Microsoft ofrece recompensas por servicios en los siguientes dominios:

  • portal.office.com
  • outlook.office365.com
  • Outlook.Office.com
  • * .outlook.com
  • outlook.com

La lista total incluye 18 dominios y otros 37 puntos finales elegibles cubiertos por la recompensa estándar por errores.

Microsoft quiere que los investigadores busquen nueve tipos diferentes de errores, que incluyen:

  • Cross Site Scripting (XSS)
  • Falsificación de solicitud entre sitios (CSRF)
  • Manipulación o acceso no autorizado de datos entre inquilinos (para servicios de múltiples inquilinos)
  • Referencias a objetos directos inseguros
  • Vulnerabilidades de inyección
  • Vulnerabilidades de autenticación
  • Ejecución de código del lado del servidor
  • Escalada de privilegios
  • Error de configuración de seguridad significativo (cuando no es causado por el usuario)

Si bien 30,000 200,000 dólares pueden parecer mucho, los investigadores de seguridad pueden recibir una recompensa mucho mayor si venden sus hallazgos en la red oscura, informa Enterprise Times, y señala que una vulnerabilidad de día cero puede costar hasta XNUMX XNUMX dólares y que los investigadores pueden ganar aún más si desarrollan el error y venderlo como parte de una plataforma Malware as a Service. Esto, por supuesto, sería altamente ilegal.

Los investigadores que no están en el lado oscuro pueden leer más sobre el sistema de recompensas. en Technet aquí.

Más sobre los temas: recompensa de errores, microsoft, EN LINEA, explotar día cero

Surur Davids

Surur Davids Proteccion

Experto en teléfonos inteligentes

Surur Davids es el fundador de WMPoweruser, que luego se convirtió en MSPoweruser.com. Es un experto en teléfonos inteligentes con más de una década de experiencia.