Anche Microsoft arriva a pagare dei semplici ricercatori sconosciuti ai più, purché l’aiutino nella sicurezza. Tra bug o difetti di sistema, è sempre più difficile garantire l’integrità e la sicurezza dei propri prodotti, per questo l’azienda di Redmond ha lanciato un nuovo programma di bug bounty, Defender Bounty.
E stavolta con ricompense e premi davvero notevoli, anche dell’ordine di decine di migliaia di dollari.
Microsoft, arriva il nuovo “ricco” programma Defender Bounty
Come anticipato da The Register, Microsoft ha presentato un nuovo programma bug bounty rivolto alla piattaforma di sicurezza Microsoft Defender.
Attualmente, il programma Microsoft Defender Bounty ha un ambito limitato e si concentrerà esclusivamente su Microsoft Defender for Endpoint API (Interfacce di programmazione delle applicazioni). Tuttavia, si prevede che in futuro si espanderà per includere altri prodotti Defender.
L’obiettivo del programma Microsoft Defender Bounty è quello di identificare le vulnerabilità nei prodotti e servizi Defender e a condividerli con il team di Microsoft. In cambio, si riceverà una ricca ricompensa.
Infatti, in occasione dell’aggiunta di Exchange, SharePoint e Skype for Business al suo programma bug bounty, l’azienda ha aumentato i premi massimi per i difetti di sicurezza ad alto impatto segnalati attraverso il suo programma Microsoft 365.
A quanto ammontano i premi del programma
Nel nuovo programma bug bounty di Microsoft, le ricompense sono comprese tra 500 e 20.000 dollari. Decisamente più alta di quella prevista dal programma di Google. La ricompensa più alta è disponibile per i report di alta qualità sulle vulnerabilità critiche legate all’esecuzione di codice in modalità remota.
Anche se sono possibili premi più elevati, però, Microsoft mantiene la propria discrezione nel determinare l’importo finale del premio in base alla gravità della vulnerabilità, all’impatto e alla qualità dell’invio.
A titolo d’esempio, se viene individuata una vulnerabilità relativa all’esecuzione del codice remoto, se il rapporto è di livello basso, ma la gravità è importante, si arriva a 5.000 dollari. Se critico, anche 10.000 dollari. Se la qualità aumenta, si aggiungono rispettivamente 5.000 dollari.
Secondo le linee guida di Microsoft, la ricompensa verrà assegnata al primo invio, se più ricercatori sulla sicurezza inviano più segnalazioni di bug relative allo stesso problema.
Inoltre, se una presentazione è idonea per più programmi di ricompensa, i ricercatori riceveranno il premio di pagamento singolo più alto da un singolo programma di ricompensa. Ulteriori dettagli sul programma Microsoft Bounty sono disponibili in questa FAQ.
Grazie a questo programma, Microsoft ha potuto avere l’identificazione di ben 446 vulnerabilità idonee in 22 programmi bug bounty, pagando personalmente 58,9 milioni di dollari in premi a 1.147 ricercatori di sicurezza in tutto il mondo.
