A Microsoft revelou um novo programa de recompensas por bugs voltado para a plataforma de segurança Microsoft Defender, com recompensas entre $500 e $20.000.
Embora recompensas maiores sejam possíveis, a Microsoft mantém a exclusividade na determinação do valor final da recompensa com base na gravidade, impacto e qualidade da vulnerabilidade submetida.
A recompensa máxima está disponível para relatórios de alta qualidade sobre vulnerabilidades críticas de execução remota de código.
Atualmente, o Programa de Recompensas do Microsoft Defender é limitado em escopo e focará exclusivamente nas APIs (Interfaces de Programação de Aplicativos) do Microsoft Defender para Endpoint.
No entanto, espera-se que se expanda para incluir outros produtos Defender no futuro.
"O Programa de Recompensas do Microsoft Defender convida pesquisadores de todo o mundo a identificar vulnerabilidades nos produtos e serviços Defender e compartilhá-las com nossa equipe", disse Madeline Eckert, gerente sênior do programa MSRC.
"Os programas de recompensa por bugs da Microsoft representam uma das muitas maneiras que investimos em parcerias com a comunidade global de pesquisas de segurança para ajudar a proteger os clientes da Microsoft."
A lista completa de vulnerabilidades de segurança inclui:
Cross-site scripting (XSS)
Falsificação de solicitação entre sites (CSRF)
Falsificação de solicitação do lado servidor (SSRF)
Violação ou acesso a dados em múltiplos inquilinos
Referências diretas a objetos inseguros
Descompactação insegura
Vulnerabilidades de injeção
Execução de código no servidor
Configuração de segurança significativamente insegura (quando não causada pelo usuário)
Uso de componentes com vulnerabilidades conhecidas (requer prova completa de conceito (PoC) de explorabilidade.
Por exemplo, simplesmente identificar uma biblioteca desatualizada não se qualificaria para uma recompensa).
De acordo com as diretrizes da Microsoft, a recompensa será concedida à primeira submissão se vários pesquisadores de segurança apresentarem vários relatórios de bugs sobre o mesmo problema.
Além disso, se uma submissão se qualificar para vários programas de recompensas, os pesquisadores receberão a maior recompensa única de um único programa de recompensas.
Mais detalhes sobre o Programa de Recompensas da Microsoft estão disponíveis nesta página de FAQ.
Hoje, a Microsoft também revelou que pagou $58,9 milhões em recompensas a 1.147 pesquisadores de segurança em todo o mundo que relataram 446 vulnerabilidades elegíveis em 22 programas de recompensa por bugs.
Um mês antes, a empresa anunciou um novo programa de recompensas de IA focado na experiência do Bing conduzida por IA, com recompensas de até $15.000.
No ano passado, Redmond adicionou os serviços Exchange, SharePoint e Skype for Business no local ao seu programa de recompensas por bugs e aumentou as recompensas máximas para falhas de segurança de alto impacto relatadas por meio de seu programa Microsoft 365.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...