abril 22, 2024

Microsoft aumenta las recompensas de recompensas por errores para defectos de Microsoft 365 de alto impacto

Línea de fondo: El último Patch Tuesday de Microsoft contiene correcciones para más de 100 vulnerabilidades, diez de las cuales son fallas críticas de ejecución remota de código. La empresa quiere superar a los ciberdelincuentes alentando a los investigadores de seguridad a recibir mayores recompensas por cada falla de alto impacto que puedan encontrar en sus productos de Microsoft 365.

Si hay algo de lo que la comunidad de seguridad se ha quejado durante años, es que la mayoría de las empresas pagan muy poco por los descubrimientos de vulnerabilidades e incluso van tan lejos como para reparar silenciosamente su software sin dar crédito a las personas a las que reportaron los problemas. El problema es lo suficientemente grave como para que algunos investigadores de seguridad hayan explorado la idea de vender su trabajo a corredores de día cero y otros terceros para llegar a fin de mes.

Por el lado positivo, las empresas han aumentado gradualmente sus pagos de recompensas por errores últimamente, presumiblemente motivados por una ola de ataques cibernéticos y campañas de malware.

Microsoft anunció recientemente que agregará recompensas basadas en escenarios al programa Bounty Dynamics 365 y Power Platform y al programa Bounty M365.

El gigante de Redmond espera alentar a los expertos en seguridad a centrar su trabajo en las vulnerabilidades que podrían tener el mayor impacto potencial en la privacidad del usuario. Con ese fin, también aumentará los pagos máximos hasta en un 30 por ciento o $ 26,000, según el escenario y la gravedad del error.

Por ejemplo, buscar una vulnerabilidad que permita la ejecución remota de código a través de entradas no confiables califica para una bonificación del 30 % además de la recompensa estándar de M365.

La compañía dice que también son posibles recompensas más altas “a discreción exclusiva de Microsoft, según la gravedad y el impacto de la vulnerabilidad y la calidad del reclamo”.

Este movimiento sigue a uno similar el año pasado en el que el programa Azure Bounty aumentó el pago máximo a $ 60,000 por vulnerabilidades en la nube de alta gravedad. Otras empresas como GitLab, Google y Atlassian han aumentado sus pagos máximos por descubrimientos de errores críticos hasta en un 50 %.

A principios de este año, Intel también amplió su programa de recompensas por errores para los investigadores que investigan la seguridad del firmware, los hipervisores, las GPU y más.

Enlace permanente a la historia.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *