Programy typu bug bounty prowadzi niemal każdy liczący się producent oprogramowania. Pozwala to zarówno hakerom z 'ciemnej strony mocy', jak i specjalistom IT wykorzystać swoje zdolności po 'jasnej stronie' - firmy oferują zwykle wynagrodzenie za znalezione luki. Wiąże się z tym też niewątpliwy prestiż w środowisku. Microsoft prowadzi kilka tego typu programów, dla których poprzeczka została niedawno podniesiona.
Czy warto polować na błędy? Najlepszą odpowiedzią będą zapewne liczby. Główna nagroda w programie Bounty for Defense wzrosła z 50 000 do sumy 100 000 dolarów. Ponadto Microsoft ogłosił rozszerzenie programu Online Services Bug Bounty o kolejne usługi: Konto Microsoft (MSA) i Azure Active Directory (AAD). Poszukiwacze podatności mogą liczyć na podwojoną nagrodę w wysokości 30 000 dolarów w okresie od 5 sierpnia do 5 października.
"Owe rozszerzenia w Microsoft Bounty Program będą częścią rygorystycznych programów bezpieczeństwa w Microsoft. Poszukiwania będą działać w ramach frameworków Security Development Lifecycle (SDL), Operational Security Assurance (OSA), standardowych testów penetracyjnych naszych usług i produktów oraz Security and Compliance Accreditations [poprzez] audyty firm zewnętrznych" - czytamy na blogu Microsoft Security Response Center. Microsoft przyznaje, że rozszerzenia programu dokonał, sugerując się feedbackiem i aktywnością społeczności Security Research Community.
100 tysięcy dolarów to - wydawałoby się - zawrotna suma za zgłoszenie błędu. Microsoft nie woli jednak ryzykować, jako że niewykryta podatność, gdy trafi w niepowołane ręce, może przyczynić się do dużo wyższych strat - nie tylko stricte materialnych, ale i w poziomie zaufania użytkowników. Więcej informacji o programach bug bounty znajdziecie w naszym wcześniejszym wpisie: Microsoft otworzył program tropienia błędów w swoich usługach.
341f31d.png)