Microsoft представила новую программу вознаграждений за обнаружение ошибок на платформе безопасности Microsoft Defender. Выплаты за выявление уязвимостей будут варьироваться от $500 до 20 тыс.
У Microsoft предусмотрены более крупные вознаграждения, однако компания оставляет за собой единоличное право определять конечную сумму выплаты в зависимости от серьёзности уязвимости, её воздействия и качества отправки заявки. Наибольшее вознаграждение получают за качественные отчёты о критических уязвимостях.
В настоящее время программа вознаграждений Microsoft Defender ограничена по объёму и сосредоточена только на API-интерфейсах Microsoft Defender для конечных точек. В будущем Microsoft расширит программу за счёт других продуктов Defender.
Программа вознаграждений Microsoft Defender Bounty приглашает исследователей со всего мира присоединится к поиску уязвимостей в продуктах и услугах Defender, чтобы поделиться ими с командой Microsoft, заявила старший менеджер программы MSRC Мэдлин Эккерт.
Неполный список рассматриваемых уязвимостей безопасности включает:
Межсайтовый скриптинг (XSS);
Подделку межсайтового запроса (CSRF);
Подделку запросов со стороны сервера (SSRF);
Небезопасные прямые ссылки на объекты (IDOR);
Небезопасная десериализация;
Уязвимости внедрения кода;
Выполнение кода на стороне сервера.
Если заявка соответствует критериям участия в нескольких программах вознаграждений, исследователи получат максимальную единовременную выплату только по одной программе. Подробную информацию о программе Microsoft Bounty можно найти по ссылке.
Корпорация также сообщила, что выплатила $58,9 млн в качестве вознаграждений 1147 исследователям безопасности по всему миру, которые сообщили о 446 уязвимостях в 22 программах. Исследуемый период начинается в июле 2018 и заканчивается в июне 2023 года.
В октябре Microsoft представила новую программу вознаграждения, направленную на Bing с искусственным интеллектом. Выплаты по ней не превышают $15 тыс. В прошлом году компания добавила в свою программу вознаграждений ошибки в Exchange, SharePoint и Skype for Business, а также увеличила максимальные выплаты за обнаружение серьёзных уязвимостей в Microsoft 365.
Полный список возможных вознаграждений за поиск ошибок в продуктах Microsoft можно увидеть по ссылке.
