Microsoft meddelte i denne uge, at det alene i løbet af de sidste 12 måneder udbetalte $ 13.7 millioner i belønninger som en del af sine bug bounty-programmer.
Tech-giganten kører i øjeblikket over 15 bug bounty-programmer, der dækker aktiver på tværs af sine cloud-tjenester, desktop-applikationer og operativsystemer samt fortroligheds- og virtualiseringsløsninger, herunder et program, der dækker ElectionGuard open source software development kit (SDK).
Sikkerhedsforskere, der er interesseret i at deltage i Microsofts bug bounty-programmer, kan optjene belønninger på op til $ 250,000 for sårbarheder med kritisk sværhedsgrad i Hyper-V, der kan føre til fjernudførelse af kode, videregivelse af oplysninger, eller denial of service (DoS).
Faktisk var den største enkeltstående udbetaling, som Microsoft uddelte mellem 1. juli 2021 og 30. juni 2022, på $ 200,000, tildelt for en kritisk fejl i Hyper-V-hypervisoren.
I løbet af 12-måneders perioden, har mere end 330 sikkerhedsforskere modtaget belønninger via Microsofts bug bounty-programmer, for en gennemsnitlig udbetaling på mere end $ 12,000.
Microsoft siger, at det udvikler sine bug bounty-programmer baseret på feedback fra forskere. I år, virksomheden introducerede på tværs af sine programmer en ny forskningsudfordring og nye angrebsscenarier med stor effekt.
Nye tilføjelser og opdateringer omfatter en Azure SSRF-udfordring, Android og iOS, der føjes til Edge-dusørprogrammet, et anerkendelsesprogram for forskere, tilføjelsen af Exchange i det lokale miljø, SharePoint og Skype for Business til bug bounty-programmet og udvidede Azure-, M365- og Dynamics 365- og Power Platform-dusørprogrammer med scenarier med stor effekt.
“Tilføjelsen af disse angrebsscenarier til vores Azure-, Dynamics 365- og Power Platform- og M365-dusørprogrammer hjælper med at fokusere forskningen på de mest effektive cloudsårbarheder, herunder områder som Azure Synapse Analytics, Key Vault og Azure Kubernetes Services,”
siger Microsoft
Kilde: WWW.ICARE.DK, ICARE SECURITY A/S
Fotokredit: Microsoft