Microsoft ora pagherà fino a $ 30,000 per i cacciatori di taglie di bug per un periodo di tempo limitato

Casa » Microsoft

Icona del tempo di lettura 2 minuto. leggere

Icona del calendario Edizione del

by Surur Davids 

pubblicato su

Condividi questo articolo

I lettori aiutano a supportare MSpoweruser. Potremmo ricevere una commissione se acquisti tramite i nostri link. Icona descrizione comando

Leggi la nostra pagina informativa per scoprire come puoi aiutare MSPoweruser a sostenere il team editoriale Per saperne di più

Nelle ultime settimane Google ha messo in imbarazzo Microsoft due volte rilasciando informazioni sulle vulnerabilità della sicurezza in Windows 10 prima che Microsoft fosse pronta a correggerle.

Microsoft ha ora risposto raddoppiando la propria taglia di bug per un periodo limitato, il che significa che i ricercatori di sicurezza possono guadagnare fino a $ 30,000 se trovano un bug grave in alcuni servizi Microsoft dal 1 marzo al 31 maggio 2017.

Avere bug trovati da ricercatori pagati da Microsoft darebbe a Microsoft un maggiore controllo sul processo di divulgazione e consentirebbe loro di dare loro la priorità alle correzioni, piuttosto che essere costretti dal programma di 3 mesi utilizzato dalla maggior parte dei ricercatori indipendenti prima della divulgazione pubblica.

Microsoft offre premi per i servizi sui seguenti domini:

  • portal.office.com
  • outlook.office365.com
  • outlook.office.com
  • * .outlook.com
  • outlook.com

L'elenco totale include 18 domini e altri 37 endpoint idonei coperti dalla taglia di bug standard.

Microsoft vuole che i ricercatori cerchino nove diversi tipi di bug, tra cui:

  • Cross Site Scripting (XSS)
  • Falsificazione di richieste tra siti (CSRF)
  • Manomissione o accesso ai dati cross-tenant non autorizzato (per servizi multi-tenant)
  • Riferimenti a oggetti diretti non sicuri
  • Vulnerabilità di iniezione
  • Vulnerabilità di autenticazione
  • Esecuzione del codice lato server
  • Aumento dei privilegi
  • Errore di configurazione significativo della sicurezza (se non causato dall'utente)

Mentre $ 30,000 possono sembrare tanti, i ricercatori di sicurezza potrebbero essere ricompensati molto di più vendendo la loro scoperta sulla Dark Net, riferisce Enterprise Times, osservando che una vulnerabilità Zero Day può arrivare fino a $ 200,000 e che i ricercatori possono guadagnare ancora di più se sviluppano il bug e venderlo come parte di una piattaforma Malware as a Service. Questo sarebbe ovviamente altamente illegale.

I ricercatori che non sono sul lato oscuro possono leggere di più sul sistema di taglie su Technet qui.

Maggiori informazioni sugli argomenti: ricompensa di insetti, microsoft, problemi di, zero day exploit

Surur Davids

Surur Davids Scudo

Esperto di smartphone

Surur Davids è il fondatore di WMPoweruser che in seguito divenne MSPoweruser.com. È un esperto di smartphone con oltre un decennio di esperienza.