Os preços do Microsoft Bug Bounty são aumentados em até 30% para pesquisadores de segurança que descobrem vulnerabilidades do Office 365 e do serviço Microsoft Account.
“Por meio desses novos prêmios de recompensa baseados em cenários, incentivamos os pesquisadores a concentrarem suas pesquisas nas vulnerabilidades que têm o maior impacto potencial na privacidade e segurança do cliente”, divulgou um anúncio do Microsoft Security Response Center (MSRC).
Quais são os preços do Microsoft Bug Bounty?
Os prêmios aumentam em até 30% para envios de cenários qualificados e podem chegar a US$ 26.000 por vulnerabilidade relatada. A Microsoft observou que falhas que não são consideradas de “alta prioridade” ainda são elegíveis para recompensas no programa General Awards.
“Se uma vulnerabilidade relatada não se qualificar para um prêmio de recompensa nos Cenários de Alto Impacto, pode ser elegível para um prêmio de recompensa nos Prêmios Gerais”, diz a empresa. Prêmios mais altos ainda são possíveis, a critério da Microsoft, com base na gravidade e impacto da vulnerabilidade e na qualidade do envio.
Prêmio aumenta
- Execução remota de código através de entrada não confiável (CWE-94 “Controle Impróprio de Geração de Código (‘Injeção de Código’)”) em 30,00%
- Execução remota de código por meio de entrada não confiável (CWE-502 “Desserialização de dados não confiáveis”) em 30,00%
- Vazamento não autorizado de dados confidenciais entre locatários e identidades cruzadas1 (CWE-200 “Exposição de informações confidenciais a um ator não autorizado”) em 20,00%
- Vazamento não autorizado de dados confidenciais de identidade cruzada (CWE-488 “Exposição de Elemento de Dados a Sessão Errada”) em 20,00%
- Vulnerabilidades de “deputado confuso” que podem ser usadas em um ataque prático que acessa recursos de maneira que ignora a autenticação (CWE-918 “Server-Side Request Forgery (SSRF)”) em 15,00%
Em uma nota completamente não relacionada: você ainda pode ganhar dinheiro com a Microsoft, mesmo que não seja um pesquisador de segurança!
A Microsoft também anunciou que expandiu seus programas de recompensas de bugs para incluir Exchange, SharePoint e Skype for Business. Os pesquisadores de segurança agora podem descobrir e relatar falhas nos servidores Exchange e SharePoint para ganhar recompensas que variam de US$ 500 a US$ 26.000. Com base nos multiplicadores de gravidade (entre 15 e 30%), os caçadores de recompensas podem receber pagamentos maiores por vulnerabilidades’.
o Programa de Recompensas M365 página fornece mais informações sobre valores de recompensa, situações de alto impacto e a nova lista de domínios no escopo.