Microsoft Bounty Program, czyli program tropienia błędów w programach i usługach Microsoftu, każdego roku wypłaca milionowe nagrody za trafne wskazania. Przykładowo za informacje o lukach w Azure można dostać nawet 100 tys. dolarów. W ostatnim roku firma wypłaciła w sumie 13,7 mln dolarów, czyli wielokrotnie więcej niż w poprzednich latach.
Badacze zabezpieczeń są ważną częścią ekosystemu cyberbezpieczeństwa, a wielu gigantów technologii potrafi docenić ich starania. Odkrywając i zgłaszając podatności Microsoftowi poprzez Coordinated Vulnerability Disclosure (CVD), badacze nadal pomagają milionom klientów i otrzymują nagrody. Przez ostatnie 12 miesięcy Microsoft wypłacił im w sumie 13,7 mln dolarów — ponad trzykrotnie więcej niż rok wcześniej (4,4 mln) i ponad sześć razy więcej niż dwa lata temu (2 mln). Co zatem zmieniło się w zeszłym roku?
Nieustannie oceniamy krajobraz zagrożeń, aby dokonywać ewolucji naszych programów, i słuchamy feedbacku od badaczy, aby pomóc w łatwiejszym dzieleniu się ich badaniami. W tym roku uruchomiliśmy sześć nowych programów polowania na błędy oraz dwa nowe granty badawcze, przyciągając ponad 1000 kwalifikujących się raportów od 300 badaczy z 6 kontynentów. Oprócz dodania nowych programów bug bounty wydaje się, że dystans społeczny spowodowany COVID-19 wpłynął na aktywność badaczy zabezpieczeń. We wszystkich naszych 15 programach tropienia błędów zaobserwowaliśmy mocne zaangażowanie badaczy i większą objętość zgłoszeń podczas kilku pierwszych miesięcy pandemii.
— Microsoft Security Response Center
W jakich usługach i produktach można wyszukiwać podatności? Aktualna lista programów:
- Microsoft Dynamics 365 Bounty Program, uruchomiony w lipcu 2019
- Azure Security Lab, uruchomiony w sierpniu 2019
- Microsoft Edge on Chromium Bounty Program, uruchomiony w sierpniu 2019
- Election Guard Bounty Program, uruchomiony w październiku 2019
- Identity Bounty Program, zaktualizowany w październiku 2019
- Xbox Bounty Program, uruchomiony w styczniu 2020
- Azure Sphere Security Research Challenge, uruchomiony w maju 2020
- Windows Insider Preview Bounty Program, zaktualizowany w lipcu 2020
Dodatkowo działają nowe programy badawcze:
- Most Valuable Researcher Recognition Program, zaktualizowany w lipcu 2019
- Security Researcher Quarterly Leaderboard, uruchomiony w sierpniu 2019
- Identity Research Grant, uruchomiony w styczniu 2020
- Microsoft Security AI RFP, uruchomiony wraz z Microsoft Research w marcu 2020
- Machine Learning Security Evasion Competition, uruchomiony wraz z with CUJO AI, VMRay i MRG Effitas w czerwcu 2020
Microsoft jak zwykle podziękował wszystkim badaczom za udział w programach i zapowiedział, że nadal będzie je rozszerzał oraz wzmacniał partnerstwo ze społecznością.