A Microsoft agora pagará até US $ 30,000 para caçadores de recompensas por tempo limitado
2 minutos. ler
Publicado em
Leia nossa página de divulgação para descobrir como você pode ajudar o MSPoweruser a sustentar a equipe editorial Saiba mais
Nas últimas semanas, o Google envergonhou a Microsoft duas vezes ao divulgar informações sobre vulnerabilidades de segurança no Windows 10 antes que a Microsoft estivesse pronta para corrigi-las.
A Microsoft agora respondeu dobrando sua recompensa por bugs por um período limitado, o que significa que os pesquisadores de segurança podem ganhar até US$ 30,000 se encontrarem um bug sério em certos serviços da Microsoft de 1º de março a 31 de maio de 2017.
Ter bugs encontrados por pesquisadores pagos pela Microsoft daria à Microsoft mais controle sobre o processo de divulgação e permitiria que eles próprios priorizassem as correções, em vez de serem forçados pelo cronograma de 3 meses que a maioria dos pesquisadores independentes usa antes da divulgação pública.
A Microsoft está oferecendo recompensas por serviços nos seguintes domínios:
- portal.office.com
- outlook.office365.com
- Outlook.office.com
- * .outlook.com
- outlook.com
A lista total inclui 18 domínios e mais 37 endpoints elegíveis cobertos pela recompensa de bugs padrão.
A Microsoft quer que os pesquisadores procurem nove tipos diferentes de bugs, incluindo:
- Cross Site Scripting (XSS)
- Falsificação de solicitação entre sites (CSRF)
- Violação ou acesso não autorizado de dados entre locatários (para serviços multilocatários)
- Referências de objetos diretos inseguras
- Vulnerabilidades de injeção
- Vulnerabilidades de autenticação
- Execução de código do lado do servidor
- Escalonamento de Privilégios
- Erro de configuração de segurança significativo (quando não causado pelo usuário)
Embora US$ 30,000 possa parecer muito, os pesquisadores de segurança podem ser recompensados muito mais vendendo sua descoberta na Dark Net, relata o Enterprise Times, observando que uma vulnerabilidade Zero Day pode chegar a US$ 200,000 e que os pesquisadores podem ganhar ainda mais se desenvolverem o bug e vendê-lo como parte de uma plataforma Malware as a Service. Isso, obviamente, seria altamente ilegal.
Pesquisadores que não estão no lado negro podem ler mais sobre o sistema de recompensas na Technet aqui.