До $20 тис. за баг: Microsoft запускає Defender Bounty Program

Корпорація Microsoft запустила ще одну програму инагород за виявлення помилок. Цього разу вона буде спрямована на Microsoft Defender.

Програма передбачає виплату винагород від $500 до $20 тис.

Defender Bounty Program від $500 до $20 тис. запропонує «білим хакерам» за «значні вразливості, які мають прямий і очевидний вплив на безпеку наших клієнтів».

Найбільше отримають дослідники, які знайшли критичні помилки про вразливість віддаленого виконання коду критичної ваги. І надали високоякісний звіт.

Вразливості, що входять до сфери дії, включають міжсайтовий сценарій, підробку міжсайтових запитів, підробку запитів на стороні сервера, підробку даних між клієнтами або доступ до них, а також уразливості впровадження.

Наразі програма охоплюватиме лише Microsoft Defender for Endpoint Public APIs, але очікується, що з часом її розширять до інших пропозицій.

Microsoft залишає за собою одноосібне право визначати остаточну суму винагороди залежно від серйозності вразливості, її впливу та якості наданої інформації.

Нині програма винагород Microsoft Defender обмежена за обсягом і зосереджена виключно на Endpoint API-інтерфейсах Microsoft Defender. Однак у майбутньому очікується її розширення коштом інших продуктів Defender.

Microsoft уточнює, що в тому випадку, якщо кілька дослідників безпеки надішлють кілька звітів про помилки, які стосуються однієї й тієї ж проблеми, нагорода буде присуджена за початкову заявку.

Водночас якщо заявка відповідає критеріям участі у кількох програмах винагород, дослідники отримають найвищу одноразову виплату за однією програмою.

Докладнішу інформацію про програму Microsoft Bounty можна знайти на цій сторінці поширених питань.

Нагадаємо, раніше Microsoft запрошував дослідників безпеки з усього світу для участі AI Bounty Program задля виявлення вразливостей у Bing AI.