Microsoft pagou US$ 2M em bug bounty

A Microsoft pagou mais de US$ 2 milhões em prêmios para recompensar pesquisadores de segurança em seus programas de bug bounty. Ontem, a empresa anunciou uma série de melhorias nos programas, segundo ela “para melhor atender à comunidade de pesquisa de segurança”. As mudanças anunciadas são as seguintes:

Revisão mais rápida das inscrições

A partir de janeiro de 2019, os programas Cloud, Windows e Azure DevOps concedem as recompensas logo após serem concluídas a reprodução e a avaliação de cada envio. Não será preciso esperar até que a correção final seja publicada. “Encurtar o tempo desde a apresentação até a determinação do prêmio é apenas uma maneira de obter recompensas para os pesquisadores mais rapidamente”, diz o comunicado.

Pagamentos de recompensa mais rápidos, com mais opções de pagamento

Uma vez que o envio de vulnerabilidades tenha sido qualificado para o pagamento de recompensa, “queremos garantir que ele ocorra rapidamente. A Microsoft está em parceria com a HackerOne para o processamento de pagamentos de recompensas e suporte para oferecer prêmios de recompensas de forma eficiente e com mais opções, como PayPal, moeda criptográfica ou transferência bancária direta em mais de 30 moedas. O HackerOne também oferece suporte a doações de prêmios e de caridade. Além disso, os prêmios de recompensas da Microsoft processados ​​por meio do HackerOne contribuirão para a pontuação geral de reputação do pesquisador na plataforma HackerOne. Para saber mais sobre nossa nova parceria com a HackerOne, confira nossa página de perguntas frequentes“.

Os relatórios de vulnerabilidade ainda devem ser enviados diretamente para o Centro de Respostas de Segurança da Microsoft  em secure@microsoft.com. Não envie relatórios de vulnerabilidades em produtos e serviços da Microsoft para o HackerOne. À medida que aceleramos nossas avaliações de recompensas, pedimos que os pesquisadores continuem a trabalhar conosco para proteger os clientes e seguir as diretrizes de Divulgação Coordenada de Vulnerabilidades.

Aumento de prêmios e escopo

A Microsoft está recompensando mais pelos relatórios de vulnerabilidade em vários programas de recompensa; em janeiro de 2019, “aumentamos os principais níveis de prêmios de US$ 15.000 para US$ 50.000 na recompensa do Windows Insider Preview e de US$ 15.000 para US$ 20.000 no programa Microsoft Cloud Bounty, que inclui Azure, O365 e outros serviços on-line. Também expandimos o escopo da recompensa da nuvem e continuaremos a expandir o escopo e as recompensas em nossos programas ao longo do ano. Volte regularmente para novas áreas de pesquisa e siga-nos no Twitter para anúncios de programas de recompensas”.

Nova política para duplicatas

Historicamente, relatórios externos de vulnerabilidades conhecidas internamente foram recompensados ​​com 10% do prêmio de recompensa oficial, pois o relatório não nos informou sobre um problema novo e anteriormente desconhecido. Mas entender o que pesquisadores externos são capazes de descobrir é um insight valioso e queremos recompensar os pesquisadores por suas contribuições sempre que pudermos. Portanto, atualizamos nossa política de envios duplicados. O primeiro pesquisador a reportar uma vulnerabilidade elegível para recompensa receberá o prêmio de recompensa total elegível, mesmo que seja conhecido internamente. Não há alterações em nossa política em relação a relatórios externos duplicados da mesma vulnerabilidade.

A Microsoft está comprometida em melhorar seus Programas de Recompensa e fortalecer nossa parceria com a comunidade de pesquisa de segurança, e estou ansioso para compartilhar mais atualizações e melhorias nos próximos meses. Como sempre, se você tiver alguma dúvida ou preocupação sobre o processo, entre em contato pelo e-mail msrclistens@microsoft.com.”