A Microsoft ampliou seu programa de bug bounty do .NET e aumentou as recompensas para até $40.000 por algumas vulnerabilidades .NET e ASP.NET Core.
Madeline Eckert, gerente sênior de programas para Incentivos a Pesquisadores e Bounty na Microsoft, declarou que essas mudanças visam refletir mais precisamente a complexidade envolvida na descoberta e exploração de vulnerabilidades .NET.
"Estamos empolgados em anunciar atualizações significativas no Programa de Bug Bounty do Microsoft .NET.
Essas mudanças expandem o escopo do programa, simplificam a estrutura de premiação e oferecem ótimos incentivos para pesquisadores de segurança", disse Eckert.
"O Programa de Bug Bounty do .NET agora oferece prêmios de até $40.000 USD por vulnerabilidades que impactam o .NET e o ASP.NET Core (incluindo Blazor e Aspire)."
A partir de hoje, a Microsoft pagará até $40.000 por falhas críticas de execução remota de código e escalada de privilégios, assim como $30.000 por desvios críticos de segurança, e até $20.000 por bugs críticos de negação de serviço remota.
O programa de bug bounty do .NET também foi expandido para melhor cobrir vulnerabilidades do framework .NET e agora inclui:
- Todas as versões suportadas do .NET e ASP.NET,
- Tecnologias adjacentes como F#,
- Versões suportadas do ASP.NET Core para o Framework .NET,
- Templates fornecidos com versões suportadas do .NET e ASP.NET Core,
- GitHub Actions nos repositórios do .NET e ASP.NET Core.
No início deste ano, a Microsoft aumentou as recompensas para $30.000 por vulnerabilidades de IA encontradas nos serviços e produtos do Power Platform e Dynamics 365.
Em fevereiro, anunciou pagamentos maiores para falhas de segurança de gravidade moderada no Microsoft Copilot (IA) e um multiplicador de prêmio de 100% para todas as recompensas de bounty do Copilot para incentivar a pesquisa em IA.
Na conferência anual Ignite do ano passado, a Microsoft também lançou o Zero Day Quest, um evento de hacking focado em produtos e plataformas de nuvem e IA, oferecendo $4 milhões em recompensas.
Esses esforços fazem parte da Iniciativa de Futuro Seguro da empresa (SFI, na sigla em inglês), um plano de engenharia de cibersegurança em toda a empresa lançado em novembro de 2023, seguindo um relatório crítico emitido pela Cyber Safety Review Board do Departamento de Segurança Interna, que afirmou que a "cultura de segurança da Microsoft era inadequada e requer uma reformulação".
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...