Microsoft vil nå betale ut opptil $30,000 XNUMX for bug-premiejegere i en begrenset periode
2 min. lese
Publisert på
Les vår avsløringsside for å finne ut hvordan du kan hjelpe MSPoweruser opprettholde redaksjonen Les mer
I løpet av de siste ukene har Google gjort Microsoft flau to ganger ved å gi ut informasjon om sikkerhetssårbarheter i Windows 10 før Microsoft var klar til å lappe dem.
Microsoft har nå reagert med å doble feilen for en begrenset periode, noe som betyr at sikkerhetsforskere kan tjene opptil $30,000 1 hvis de finner en alvorlig feil i visse Microsoft-tjenester fra 31. mars til 2017. mai XNUMX.
Å ha feil funnet av forskere betalt av Microsoft vil gi Microsoft mer kontroll over avsløringsprosessen og la dem prioritere rettelser selv, i stedet for å bli tvunget av 3-måneders tidsplanen de fleste uavhengige forskere bruker før offentlig avsløring.
Microsoft tilbyr belønninger for tjenester på følgende domener:
- portal.office.com
- outlook.office365.com
- outlook.office.com
- * .outlook.com
- outlook.com
Den totale listen inkluderer 18 domener og ytterligere 37 kvalifiserte endepunkter som dekkes av standard bug-bounty.
Microsoft vil at forskere skal se etter ni forskjellige typer feil, inkludert:
- Cross Site Scripting (XSS)
- Cross Site Request Forgery (CSRF)
- Uautorisert tukling eller tilgang til data på tvers av leietakere (for tjenester med flere leietakere)
- Usikre direkte objektreferanser
- Sårbarheter ved injeksjon
- Autentiseringssårbarheter
- Kodeutførelse på serversiden
- Opptrapping av privilegier
- Betydelig sikkerhetsfeilkonfigurasjon (når ikke forårsaket av bruker)
Selv om 30,000 200,000 dollar kan høres mye ut, kan sikkerhetsforskere bli belønnet mye mer ved å selge funnet på Dark Net, rapporterer Enterprise Times, som bemerker at en Zero Day-sårbarhet kan tjene så mye som XNUMX XNUMX dollar, og at forskere kan tjene enda mer hvis de utvikler feilen og selge den som en del av en Malware as a Service-plattform. Dette vil selvsagt være svært ulovlig.
Forskere som ikke er på den mørke siden kan lese mer om dusørsystemet på Technet her.