Microsoft จะจ่ายเงินสูงถึง $30,000 สำหรับนักล่าค่าหัวบั๊กในระยะเวลาจำกัด

ในช่วงสองสามสัปดาห์ที่ผ่านมา Google ได้สร้างความอับอายให้กับ Microsoft ถึงสองครั้งด้วยการเปิดเผยข้อมูลเกี่ยวกับช่องโหว่ด้านความปลอดภัยใน Windows 10 ก่อนที่ Microsoft จะพร้อมสำหรับการแก้ไข

Microsoft ได้ตอบสนองโดยเพิ่มค่าหัวจุดบกพร่องเป็นสองเท่าในระยะเวลาจำกัด ซึ่งหมายความว่านักวิจัยด้านความปลอดภัยสามารถสร้างรายได้สูงถึง $30,000 หากพบจุดบกพร่องที่ร้ายแรงในบริการของ Microsoft บางอย่างตั้งแต่วันที่ 1 มีนาคมถึง 31 พฤษภาคม 2017

การมีข้อบกพร่องที่พบโดยนักวิจัยที่จ่ายโดย Microsoft จะทำให้ Microsoft สามารถควบคุมกระบวนการเปิดเผยข้อมูลได้มากขึ้น และปล่อยให้พวกเขาจัดลำดับความสำคัญในการแก้ไขด้วยตนเอง แทนที่จะถูกบังคับโดยกำหนดการ 3 เดือนที่นักวิจัยอิสระส่วนใหญ่ใช้ก่อนการเปิดเผยต่อสาธารณะ

Microsoft เสนอรางวัลสำหรับบริการในโดเมนต่อไปนี้:

• พอร์ทัล.office.com
• outlook.office365.com
• outlook.office.com
• *.outlook.com
• outlook.com

รายการทั้งหมดประกอบด้วย 18 โดเมนและปลายทางที่มีสิทธิ์เพิ่มเติม 37 รายการซึ่งครอบคลุมโดยค่าหัวบั๊กมาตรฐาน

Microsoft ต้องการให้นักวิจัยค้นหาข้อบกพร่องที่แตกต่างกัน XNUMX ประเภท ได้แก่:

• การเขียนสคริปต์ข้ามไซต์ (XSS)
• การปลอมแปลงคำขอข้ามไซต์ (CSRF)
• การปลอมแปลงหรือการเข้าถึงข้อมูลระหว่างผู้เช่าโดยไม่ได้รับอนุญาต (สำหรับบริการหลายผู้เช่า)
• การอ้างอิงวัตถุโดยตรงที่ไม่ปลอดภัย
• ช่องโหว่การฉีด
• ช่องโหว่การตรวจสอบสิทธิ์
• การดำเนินการโค้ดฝั่งเซิร์ฟเวอร์
• การเลื่อนระดับสิทธิ์
• การกำหนดค่าความปลอดภัยผิดพลาดที่สำคัญ (เมื่อไม่ได้เกิดจากผู้ใช้)

แม้ว่าเงินจำนวน 30,000, 200,000 เหรียญอาจดูเหมือนมาก แต่นักวิจัยด้านความปลอดภัยอาจได้รับรางวัลมากขึ้นจากการขายสิ่งที่ค้นพบใน Dark Net Enterprise Times รายงานโดยสังเกตว่าช่องโหว่ Zero Day สามารถดึงข้อมูลได้มากถึง XNUMX เหรียญและนักวิจัยสามารถทำเงินได้มากขึ้นหากพวกเขาพัฒนา บั๊กและขายเป็นส่วนหนึ่งของแพลตฟอร์ม Malware as a Service นี้แน่นอนจะผิดกฎหมายอย่างสูง

นักวิจัยที่ไม่ด้านมืดสามารถอ่านเพิ่มเติมเกี่ยวกับระบบเงินรางวัลได้ ที่ Technet ที่นี่.