Microsoft увеличила вознаграждение за найденные уязвимости
Увеличенная премия связана с новыми уязвимостями на основе сценариев для Microsoft Dynamics 365 и регулируется положениями программы поиска ошибок Bug Bounty.
В рамках Dynamics Bug Bounty теперь можно получить вознаграждение в размере 20 000 долларов за сценарий приводящий к «раскрытию информации между арендаторами». Такие уязвимости позволяют злоумышленнику получить доступ к данным и ресурсам других клиентов, использующих службы Microsoft, чего Microsoft, очевидно, хочет избежать любой ценой.
Для программы M365 Bug Bounty максимальное вознаграждение за ряд уязвимостей будет увеличено на 15-30%. В число багов за которые готовы платить, входят удаленное выполнение кода, уязвимости между арендаторами, перекрестной идентификацией и «запутанной идентификацией», которые позволяют получить доступ к ресурсам в обход аутентификации. Это означает, что белый хакер может заработать на каждой ошибке на 26 000 долларов больше, чем раньше.
Впрочем, при ближайшем рассмотрении все оказывается не так уж и замечательно, особенно если учитывать Правила информирования о проблемах. В них, черным по белому написано: «(Вы)понимаете, что вам не гарантируется какая-либо компенсация или кредит за использование представленной Вами информации, и заявляете, и гарантируете, что (отправленная информация о уязвимости) является вашей собственной работой, что вы не использовали информацию, принадлежащую другому физическому или юридическому лицу, и что у вас есть законное право на предоставление (такой информации) в Microsoft. Также в Правилах участия, содержится множество различных ограничений по возрасту, контактам с сотрудниками компании, и санкциями, наложенными США на страну проживания предполагаемых участников.
В конечном итоге, после прочтения всех условий становится ясно, что просто так деньги платить никто не намерен, и «замечательный стартап» по распилу денежных знаков, в этом случае не взлетит. Что конечно же выглядит справедливо, но все-таки немножечко печально.