Microsoft Bounty Program zwiększa nagrody i przyspiesza płatności

Microsoft Bounty Program, czyli program tropienia błędów w programach i usługach Microsoftu, w samym tylko zeszłym roku przyznał ponad 2 miliony dolarów w formie nagród dla badaczy, którzy znaleźli luki w zabezpieczeniach niektórych kluczowych technologii giganta. Na fali tego sukcesu firma zamierza wprowadzić do programu parę ulepszeń, w tym przyspieszyć wypłacalność i podnieść wartość nagród. Listę konkretnych zmian poznacie w dalszej części tekstu.

Szybszy przegląd zgłoszeń

Programy dla sekcji Cloud, Windows i Azure DevOps przyznają teraz nagrody po ukończeniu reprodukcji i oszacowania każdego zgłoszenia, zamiast czekać na wyznaczenie finalnej poprawki. Skrócenie czasu od zgłoszenia do wypłaty jest sposobem, by szybciej nagradzać badaczy.

Szybsze wypłaty nagród i więcej opcji płatności

Microsoft chce upewnić się, że po pomyślnym zakwalifikowaniu zgłoszenia do nagrody płatność zostanie zrealizowana szybko. Microsoft współpracuje z HackerOne w zakresie przetwarzania płatności i wspiera nowe metody, takie jak PayPal, kryptowaluty lub bezpośredni przelew bankowy w ponad 30 walutach. HackerOne wspiera ponadto podział nagród i darowizny na cele charytatywne. Nagrody od Microsoftu przetwarzane przez HackerOne wnoszą wkład do punktów reputacji na platformie HackerOne.

Rosnące nagrody i zakres

Microsoft podnosi nagrody w różnych sekcjach programu - w styczniu podniesiono poziom maksymalny z 15 tys. do 50 tys. dolarów w sekcji Windows Insider Preview oraz z 15 tys. do 20 tys. w programie Microsoft Cloud Bounty, obejmującym Azure, Office 365 i inne usługi online. Zwiększono również zakres w sekcji Cloud i zapowiedziano dalsze jego powiększanie w innych sekcjach w tym roku.

Nowe zasady dotyczące duplikatów

Dawniej za zgłoszenia podatności znanych już wewnętrznie Microsoft wypłacał 10% nagrody. Gigant chce jednak okazać hojność badaczom zabezpieczeń i dlatego zmienił nieco zasady. Pierwszy badacz, który zgłosi podatność kwalifikującą się do nagrody, otrzyma pełną jej sumę, nawet jeśli jest już wewnętrznie znana. Nie ma jednak zmian co do wypłat nagród za duplikaty zewnętrznych zgłoszeń dotyczących tej samej podatności.

Gigant przypomina, że podatności powinny być zgłaszane bezpośrednio do Microsoft Security Response Center, na adres secure@microsoft.com. Nie należy wysyłać raportów dotyczących produktów Microsoftu do HackerOne.