Microsoft увеличила вознаграждение за найденные уязвимости

Логотип компании
21.04.2022
Microsoft увеличила вознаграждение за найденные уязвимости
Стремясь привлечь больше исследователей безопасности к поиску самых серьезных уязвимостей в своем программном обеспечении и услугах, Microsoft увеличивает предлагаемое денежное вознаграждение

Увеличенная премия связана с новыми уязвимостями на основе сценариев для Microsoft Dynamics 365 и регулируется положениями программы поиска ошибок Bug Bounty.

В рамках Dynamics Bug Bounty теперь можно получить вознаграждение в размере 20 000 долларов за сценарий приводящий к «раскрытию информации между арендаторами». Такие уязвимости позволяют злоумышленнику получить доступ к данным и ресурсам других клиентов, использующих службы Microsoft, чего Microsoft, очевидно, хочет избежать любой ценой.

Для программы M365 Bug Bounty максимальное вознаграждение за ряд уязвимостей будет увеличено на 15-30%. В число багов за которые готовы платить, входят удаленное выполнение кода, уязвимости между арендаторами, перекрестной идентификацией и «запутанной идентификацией», которые позволяют получить доступ к ресурсам в обход аутентификации. Это означает, что белый хакер может заработать на каждой ошибке на 26 000 долларов больше, чем раньше.

Впрочем, при ближайшем рассмотрении все оказывается не так уж и замечательно, особенно если учитывать Правила информирования о проблемах. В них, черным по белому написано: «(Вы)понимаете, что вам не гарантируется какая-либо компенсация или кредит за использование представленной Вами информации, и заявляете, и гарантируете, что (отправленная информация о уязвимости) является вашей собственной работой, что вы не использовали информацию, принадлежащую другому физическому или юридическому лицу, и что у вас есть законное право на предоставление (такой информации) в Microsoft. Также в Правилах участия, содержится множество различных ограничений по возрасту, контактам с сотрудниками компании, и санкциями, наложенными США на страну проживания предполагаемых участников.

В конечном итоге, после прочтения всех условий становится ясно, что просто так деньги платить никто не намерен, и «замечательный стартап» по распилу денежных знаков, в этом случае не взлетит. Что конечно же выглядит справедливо, но все-таки немножечко печально.

Читайте также
Когда речь заходит о кибербезопасности, доверие — это опасная роскошь. Громкие утечки данных, взломы крупных компаний и бесконечные цепочки атак привели к рождению концепции, которая предлагает радикально новое решение: «Не доверяй никому и ничему». Zero Trust ворвался в мир как спасательный круг для бизнеса, уставшего от постоянных угроз, и стал новой мантрой для специалистов по безопасности. Но является ли эта модель настоящей революцией или это очередной маркетинговый ход? Эти и другие вопросы обсуждали на круглом столе IT-World «Цифровое доверие: киберщит или ахиллесова пята?», организованном журналом IT Manager.

Похожие статьи