I prezzi di Microsoft Bug Bounty sono aumentati fino al 30% per i ricercatori di sicurezza che scoprono le vulnerabilità del servizio Office 365 e Microsoft Account.
“Attraverso questi nuovi premi basati su scenari, incoraggiamo i ricercatori a concentrare la loro ricerca sulle vulnerabilità che hanno il massimo impatto potenziale sulla privacy e sulla sicurezza dei clienti”, ha rivelato un annuncio del Microsoft Security Response Center (MSRC).
Quali sono i prezzi di Microsoft Bug Bounty?
I premi aumentano fino al 30% per gli invii di scenari idonei e possono raggiungere $ 26.000 per vulnerabilità segnalata. Microsoft ha notato che i difetti che non sono considerati “ad alta priorità” sono ancora idonei per i premi nell’ambito del programma General Awards.
“Se una vulnerabilità segnalata non si qualifica per un premio in base agli scenari ad alto impatto, potrebbe essere idonea per un premio in base ai premi generali”, afferma la società. Sono ancora possibili riconoscimenti più elevati, anche se a discrezione di Microsoft, in base alla gravità e all’impatto della vulnerabilità e alla qualità dell’invio.
Premio aumenta
- Esecuzione di codice a distanza tramite input non attendibile (CWE-94 “Controllo improprio della generazione di codice (‘Code Injection’)”) del 30,00%
- Esecuzione di codice remoto tramite input non attendibile (CWE-502 “Deserialization of Untrusted Data”) del 30,00%
- Perdita di dati sensibili tra tenant e identità incrociata non autorizzata1 (CWE-200 “Esposizione di informazioni sensibili a un attore non autorizzato”) del 20,00%
- Perdita di dati sensibili tra identità incrociate non autorizzata (CWE-488 “Esposizione di elementi di dati a sessioni errate”) del 20,00%
- Vulnerabilità “Confused vice” che possono essere utilizzate in un attacco pratico che accede alle risorse in un modo che aggira l’autenticazione (CWE-918 “Server-Side Request Forgery (SSRF)”) del 15,00%
Una nota completamente non correlata: puoi comunque guadagnare denaro da Microsoft anche se non sei un ricercatore di sicurezza!
Microsoft ha anche annunciato di aver ampliato i suoi programmi di ricompensa dei bug per includere Exchange, SharePoint e Skype for Business. I ricercatori della sicurezza possono ora scoprire e segnalare difetti nei server Exchange e SharePoint per guadagnare premi che vanno da $ 500 a $ 26.000. Sulla base dei moltiplicatori di gravità (tra il 15 e il 30%), i cacciatori di taglie potrebbero ricevere maggiori ricompense per le vulnerabilità’.
Il Programma taglie M365 La pagina fornisce ulteriori informazioni sugli importi dei premi, sulle situazioni ad alto impatto e sul nuovo elenco di domini in ambito.