Microsoft vil nå betale ut opptil $30,000 XNUMX for bug-premiejegere i en begrenset periode

I løpet av de siste ukene har Google gjort Microsoft flau to ganger ved å gi ut informasjon om sikkerhetssårbarheter i Windows 10 før Microsoft var klar til å lappe dem.

Microsoft har nå reagert med å doble feilen for en begrenset periode, noe som betyr at sikkerhetsforskere kan tjene opptil $30,000 1 hvis de finner en alvorlig feil i visse Microsoft-tjenester fra 31. mars til 2017. mai XNUMX.

Å ha feil funnet av forskere betalt av Microsoft vil gi Microsoft mer kontroll over avsløringsprosessen og la dem prioritere rettelser selv, i stedet for å bli tvunget av 3-måneders tidsplanen de fleste uavhengige forskere bruker før offentlig avsløring.

Microsoft tilbyr belønninger for tjenester på følgende domener:

• portal.office.com
• outlook.office365.com
• outlook.office.com
• * .outlook.com
• outlook.com

Den totale listen inkluderer 18 domener og ytterligere 37 kvalifiserte endepunkter som dekkes av standard bug-bounty.

Microsoft vil at forskere skal se etter ni forskjellige typer feil, inkludert:

• Cross Site Scripting (XSS)
• Cross Site Request Forgery (CSRF)
• Uautorisert tukling eller tilgang til data på tvers av leietakere (for tjenester med flere leietakere)
• Usikre direkte objektreferanser
• Sårbarheter ved injeksjon
• Autentiseringssårbarheter
• Kodeutførelse på serversiden
• Opptrapping av privilegier
• Betydelig sikkerhetsfeilkonfigurasjon (når ikke forårsaket av bruker)

Selv om 30,000 200,000 dollar kan høres mye ut, kan sikkerhetsforskere bli belønnet mye mer ved å selge funnet på Dark Net, rapporterer Enterprise Times, som bemerker at en Zero Day-sårbarhet kan tjene så mye som XNUMX XNUMX dollar, og at forskere kan tjene enda mer hvis de utvikler feilen og selge den som en del av en Malware as a Service-plattform. Dette vil selvsagt være svært ulovlig.

Forskere som ikke er på den mørke siden kan lese mer om dusørsystemet på Technet her.