Microsoft aumenta valores pagos em programa de bug bounty
Por Felipe Demartini | Editado por Claudio Yuge | 15 de Abril de 2022 às 21h45
A Microsoft anunciou nesta semana um aumento nas taxas pagas a especialistas em segurança digital que participam de seu programa de bug bounty. O incremento está relacionado a cenários específicos, que são de maior interesse da companhia, em plataformas 365, Dynamics 365 e Power Platform, com aumentos de até 30% de acordo com o tipo de vulnerabilidade encontrada.
- Cresce o mercado de "caça bugs", que oferece até US$ 31 mil por falha encontrada
- Microsoft usa parcerias e programas bug bounty como chave para maior segurança
Receberam os maiores aumentos, por exemplo, as brechas relacionadas à injeção e execução de códigos maliciosos a partir de fontes não confiáveis. Brechas envolvendo vazamentos de dados receberam incremento um pouco menor, de 20%, enquanto vulnerabilidades que permitam acesso de usuários sem privilégios a recursos de administração pagarão 15% a mais aos pesquisadores.
Estas são as situações que a Microsoft intitula como de maior impacto, com direito aos maiores pagamentos de seu programa de caça a bugs. Entretanto, afirma a empresa, caso uma vulnerabilidade encontrada não se encaixe nos cenários desejados pela empresa, ela ainda pode gerar pagamentos nas categorias gerais do programa de segurança; da mesma forma, em caso de violações de altíssima gravidade, valores ainda maiores que os indicados podem ser entregues.
A escolha por cenários envolvendo vazamento de dados, autenticação e execução remota de códigos tem a ver com o próprio caráter das plataformas 365, voltadas à computação na nuvem e usuários corporativos. São eles que sofrem mais com ataques de ransomware, exposição de informações e extorsão, e a Microsoft não quer mais ser vista nas páginas do noticiário como um vetor, da forma que aconteceu nos últimos anos com as aberturas no Exchange.
O sistema, inclusive, foi uma das adições recentes da companhia ao programa de caça a bugs, que também passou a contar com pagamentos para brechas no Skype e SharePoint. Nestes casos, os valores podem chegar a até US$ 26 mil, e novamente, multiplicadores e prêmios maiores podem ser disponibilizados de acordo com a severidade das brechas encontradas pelos especialistas.
Fonte: Microsoft