A Microsoft concedeu US$ 2,3 milhões a pesquisadores de segurança após receber quase 700 submissões durante a edição deste ano do concurso de hacking Zero Day Quest.
Tom Gallagher, vice-presidente de engenharia do Microsoft Security Response Center (MSRC), afirmou que mais de 80 falhas encontradas durante o evento presencial no campus da Microsoft em Redmond eram vulnerabilidades de alto impacto em cloud e AI.
“Durante o evento de hacking ao vivo de 2026, a Microsoft se uniu à comunidade global de pesquisa em segurança, representando mais de 20 países e uma ampla variedade de perfis profissionais, de estudantes do ensino médio a professores universitários”, disse Gallagher.
“Os pesquisadores realizaram todos os testes apenas em ambientes autorizados, em conformidade com as Regras de Engajamento da Microsoft, demonstrando impacto potencial sem acessar dados de clientes ou outros sistemas de tenants.
Dentro dessas limitações, foram identificadas rotas críticas envolvendo exposição de credenciais, cadeias de SSRF e acesso cross-tenant.”
Em agosto do ano passado, a Microsoft anunciou que aumentaria o prêmio total do Zero Day Quest deste ano para US$ 5 milhões em recompensas, descrevendo o evento como o “maior evento de hacking da história”.
O Zero Day Quest de 2025 também registrou forte participação da comunidade de segurança, após a Microsoft oferecer US$ 4 milhões em recompensas por vulnerabilidades em produtos e plataformas de cloud e AI.
Após o fim da competição, a Microsoft informou ter pago US$ 1,6 milhão em recompensas depois de receber mais de 600 submissões de vulnerabilidades.
O Zero Day Quest faz parte da Secure Future Initiative (SFI), um esforço de engenharia de cibersegurança lançado em novembro de 2023, após um relatório contundente do Cyber Safety Review Board, vinculado ao Departamento de Segurança Interna dos Estados Unidos, concluir que a cultura de segurança da empresa era “inadequada” e precisava de uma “reformulação”.
“Como parte da nossa Secure Future Initiative (SFI), vamos divulgar vulnerabilidades críticas de forma transparente por meio do programa CVE, mesmo quando nenhuma ação do cliente for necessária”, disse Gallagher em agosto.
“Os aprendizados do Zero Day Quest serão compartilhados em toda a Microsoft para ajudar a melhorar a segurança de Cloud e AI, em linha com os princípios centrais da SFI: secure by default, secure by design e secure in operations.”
No início do mesmo mês, a Microsoft anunciou que havia pago um valor recorde de US$ 17 milhões a 344 pesquisadores de segurança em 59 países por meio de seu programa de bug bounty, entre julho de 2024 e junho de 2025.
Em dezembro, a empresa também informou que passaria a remunerar pesquisadores que encontrarem vulnerabilidades críticas em qualquer um de seus serviços online, mesmo quando o código vulnerável tiver sido escrito por terceiros.
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...