Microsoft Bug Bounty Programs to dla wielu tropicieli luk w zabezpieczeniach szansa na zgarnięcie naprawdę dużych pieniędzy. Gigant z Redmond od lat wypłaca nagrody za wskazanie mniej lub bardziej krytycznych podatności w swoim oprogramowaniu. W ciągu ostatniego roku (roku fiskalnego 2022) firma przeznaczyła na to aż 13,7 miliona dolarów.
Microsoft Security Response Center informuje, że w ciągu ostatniego roku (FY22) firma nagrodziła sumą 13,7 mln USD ponad 330 badaczy zabezpieczeń z 46 krajów. Największa pojedyncza nagroda — 200 tys. USD — przyznana została w ramach Hyper-V Bounty Program, zaś średnia nagroda ze wszystkich programów wynosiła 12 tys. USD. W tym okresie (1 lipca 2021 — 30 czerwca 2022) przesłano w sumie 1091 kwalifikujących się zgłoszeń podatności.
Co zmieniło się w tym ostatnim roku? Microsoft mówi, że jego partnerstwa i programy podlegają nieustannej ewolucji w obliczu zmieniającego się krajobrazu zagrożeń. Kluczowym elementem tego dojrzewania jest wysłuchanie feedbacku badaczy, by znieść bariery wejścia i dodać więcej udogodnień. Poza tym rozszerzono zasięg programów na nowe kategorie.
W tym roku wprowadziliśmy nowe wyzwanie badawcze i nowe scenariusze ataków o dużym wpływie w wielu naszych programach, aby nagradzać badania skoncentrowane na najbardziej krytycznych obszarach bezpieczeństwa klientów. Dodanie tych scenariuszy ataków do naszych programów Azure, Dynamics 365 i Power Platform oraz M365 pomaga skoncentrować badania na luki w chmurze o największym znaczeniu, w tym takich obszarach, jak Azure Synapse Analytics, Key Vault i Azure Kubernetes Services.
— Lynn Miyashita i Madeline Eckert, Microsoft Security Response Center (MSRC)
Programy spod szyldu Bug Bounty są ważną częścią holistycznego podejścia Microsoftu do bezpieczeństwa. Pomagają lepiej chronić klientów firmy, która nie szczędzi środków na te cele. Inicjatywa jest mocno sformalizowana i badacze, którzy znaleźli coś interesującego, muszą korzystać ze standardowych procedur zgłoszeń. Wiadomo też, jakie luki są wyceniane najwyżej, a jakie znaleziska nie są premiowane.
341f31d.png)