Hackers iranianos alegam ter derrubado energia em Israel
Ransomware atinge empresa de logística no Brasil
USP, UFRJ e UFMG sob ataque de negação de serviço
Pane de rede retardou produção na Volkswagen
Site da Prefeitura de Suzano (SP) está fora do ar
DDoS atinge subdomínio da NASA

Assine nossa newsletter Premium e ganhe acesso ao grupo de WhatsApp In_Cyber.
Conheça também a versão Básica

Microsoft pagou US$ 2M em bug bounty

Share on linkedin
Share on twitter
Share on facebook

A Microsoft pagou mais de US$ 2 milhões em prêmios para recompensar pesquisadores de segurança em seus programas de bug bounty. Ontem, a empresa anunciou uma série de melhorias nos programas, segundo ela “para melhor atender à comunidade de pesquisa de segurança”. As mudanças anunciadas são as seguintes:

Revisão mais rápida das inscrições

A partir de janeiro de 2019, os programas Cloud, Windows e Azure DevOps concedem as recompensas logo após serem concluídas a reprodução e a avaliação de cada envio. Não será preciso esperar até que a correção final seja publicada. “Encurtar o tempo desde a apresentação até a determinação do prêmio é apenas uma maneira de obter recompensas para os pesquisadores mais rapidamente”, diz o comunicado.

Pagamentos de recompensa mais rápidos, com mais opções de pagamento

Uma vez que o envio de vulnerabilidades tenha sido qualificado para o pagamento de recompensa, “queremos garantir que ele ocorra rapidamente. A Microsoft está em parceria com a HackerOne para o processamento de pagamentos de recompensas e suporte para oferecer prêmios de recompensas de forma eficiente e com mais opções, como PayPal, moeda criptográfica ou transferência bancária direta em mais de 30 moedas. O HackerOne também oferece suporte a doações de prêmios e de caridade. Além disso, os prêmios de recompensas da Microsoft processados ​​por meio do HackerOne contribuirão para a pontuação geral de reputação do pesquisador na plataforma HackerOne. Para saber mais sobre nossa nova parceria com a HackerOne, confira nossa página de perguntas frequentes“.

Os relatórios de vulnerabilidade ainda devem ser enviados diretamente para o Centro de Respostas de Segurança da Microsoft  em secure@microsoft.com. Não envie relatórios de vulnerabilidades em produtos e serviços da Microsoft para o HackerOne. À medida que aceleramos nossas avaliações de recompensas, pedimos que os pesquisadores continuem a trabalhar conosco para proteger os clientes e seguir as diretrizes de Divulgação Coordenada de Vulnerabilidades.

Aumento de prêmios e escopo

A Microsoft está recompensando mais pelos relatórios de vulnerabilidade em vários programas de recompensa; em janeiro de 2019, “aumentamos os principais níveis de prêmios de US$ 15.000 para US$ 50.000 na recompensa do Windows Insider Preview e de US$ 15.000 para US$ 20.000 no programa Microsoft Cloud Bounty, que inclui Azure, O365 e outros serviços on-line. Também expandimos o escopo da recompensa da nuvem e continuaremos a expandir o escopo e as recompensas em nossos programas ao longo do ano. Volte regularmente para novas áreas de pesquisa e siga-nos no Twitter para anúncios de programas de recompensas”.

Nova política para duplicatas

Historicamente, relatórios externos de vulnerabilidades conhecidas internamente foram recompensados ​​com 10% do prêmio de recompensa oficial, pois o relatório não nos informou sobre um problema novo e anteriormente desconhecido. Mas entender o que pesquisadores externos são capazes de descobrir é um insight valioso e queremos recompensar os pesquisadores por suas contribuições sempre que pudermos. Portanto, atualizamos nossa política de envios duplicados. O primeiro pesquisador a reportar uma vulnerabilidade elegível para recompensa receberá o prêmio de recompensa total elegível, mesmo que seja conhecido internamente. Não há alterações em nossa política em relação a relatórios externos duplicados da mesma vulnerabilidade.

A Microsoft está comprometida em melhorar seus Programas de Recompensa e fortalecer nossa parceria com a comunidade de pesquisa de segurança, e estou ansioso para compartilhar mais atualizações e melhorias nos próximos meses. Como sempre, se você tiver alguma dúvida ou preocupação sobre o processo, entre em contato pelo e-mail msrclistens@microsoft.com.”