A Microsoft agora pagará até US $ 30,000 para caçadores de recompensas por tempo limitado

Início » Microsoft

Ícone de tempo de leitura 2 minutos. ler

Ícone do calendário Publicado em

by Surur Davids 

publicado em

Compartilhe este artigo

Os leitores ajudam a oferecer suporte ao MSpoweruser. Podemos receber uma comissão se você comprar através de nossos links. Ícone de dica de ferramenta

Leia nossa página de divulgação para descobrir como você pode ajudar o MSPoweruser a sustentar a equipe editorial Saiba mais

Nas últimas semanas, o Google envergonhou a Microsoft duas vezes ao divulgar informações sobre vulnerabilidades de segurança no Windows 10 antes que a Microsoft estivesse pronta para corrigi-las.

A Microsoft agora respondeu dobrando sua recompensa por bugs por um período limitado, o que significa que os pesquisadores de segurança podem ganhar até US$ 30,000 se encontrarem um bug sério em certos serviços da Microsoft de 1º de março a 31 de maio de 2017.

Ter bugs encontrados por pesquisadores pagos pela Microsoft daria à Microsoft mais controle sobre o processo de divulgação e permitiria que eles próprios priorizassem as correções, em vez de serem forçados pelo cronograma de 3 meses que a maioria dos pesquisadores independentes usa antes da divulgação pública.

A Microsoft está oferecendo recompensas por serviços nos seguintes domínios:

  • portal.office.com
  • outlook.office365.com
  • Outlook.office.com
  • * .outlook.com
  • outlook.com

A lista total inclui 18 domínios e mais 37 endpoints elegíveis cobertos pela recompensa de bugs padrão.

A Microsoft quer que os pesquisadores procurem nove tipos diferentes de bugs, incluindo:

  • Cross Site Scripting (XSS)
  • Falsificação de solicitação entre sites (CSRF)
  • Violação ou acesso não autorizado de dados entre locatários (para serviços multilocatários)
  • Referências de objetos diretos inseguras
  • Vulnerabilidades de injeção
  • Vulnerabilidades de autenticação
  • Execução de código do lado do servidor
  • Escalonamento de Privilégios
  • Erro de configuração de segurança significativo (quando não causado pelo usuário)

Embora US$ 30,000 possa parecer muito, os pesquisadores de segurança podem ser recompensados ​​muito mais vendendo sua descoberta na Dark Net, relata o Enterprise Times, observando que uma vulnerabilidade Zero Day pode chegar a US$ 200,000 e que os pesquisadores podem ganhar ainda mais se desenvolverem o bug e vendê-lo como parte de uma plataforma Malware as a Service. Isso, obviamente, seria altamente ilegal.

Pesquisadores que não estão no lado negro podem ler mais sobre o sistema de recompensas na Technet aqui.

Mais sobre os tópicos: recompensa de insetos, microsoft, segurança, exploração de dia zero

Surur Davids

Surur Davids Proteger

Especialista em smartphones

Surur Davids é o fundador do WMPoweruser, que mais tarde se tornou MSPoweruser.com. Ele é um especialista em smartphones com mais de uma década de experiência.