Цены на Microsoft Bug Bounty увеличиваются до 30 % для исследователей безопасности, обнаруживших уязвимости в Office 365 и службе учетных записей Microsoft.
«С помощью этих новых вознаграждений, основанных на сценариях, мы призываем исследователей сосредоточить свои исследования на уязвимостях, которые имеют наибольшее потенциальное влияние на конфиденциальность и безопасность клиентов», — говорится в сообщении Microsoft Security Response Center (MSRC).
Каковы цены Microsoft Bug Bounty?
Награды увеличиваются на 30 % за подходящие сценарии и могут достигать 26 000 долларов США за каждую обнаруженную уязвимость. Microsoft отметила, что недостатки, которые не считаются «высокоприоритетными», по-прежнему имеют право на вознаграждение в рамках программы General Awards.
«Если сообщаемая уязвимость не соответствует требованиям для награды в рамках сценариев высокой степени воздействия, она может иметь право на получение награды в рамках общих наград», — говорится в сообщении компании. Более высокие награды по-прежнему возможны, хотя по усмотрению Microsoft, в зависимости от серьезности и воздействия уязвимости, а также качества представленной заявки.
Награда увеличивается
- Удаленное выполнение кода через ненадежный ввод (CWE-94 «Неправильный контроль генерации кода («Внедрение кода»)») на 30,00 %.
- Удаленное выполнение кода через ненадежный ввод (CWE-502 «Десериализация недоверенных данных») на 30,00 %.
- Несанкционированная утечка конфиденциальных данных между арендаторами и перекрестной идентификацией1 (CWE-200 «Предоставление конфиденциальной информации неавторизованному субъекту») на 20,00 %.
- Несанкционированная утечка конфиденциальных данных с перекрестной идентификацией (CWE-488 «Воздействие элемента данных на неправильный сеанс») на 20,00%
- Уязвимости «Запутанный заместитель», которые могут быть использованы в практической атаке с доступом к ресурсам в обход аутентификации (CWE-918 «Подделка запроса на стороне сервера (SSRF)») на 15,00%.
Совершенно не связанная с этим заметка: вы все равно можете зарабатывать деньги на Microsoft, даже если вы не исследователь безопасности!
Microsoft также объявила, что расширила свои программы вознаграждения за обнаружение ошибок, включив в них Exchange, SharePoint и Skype для бизнеса. Исследователи безопасности теперь могут обнаруживать и сообщать о уязвимостях в серверах Exchange и SharePoint, получая вознаграждение в размере от 500 до 26 000 долларов. Основываясь на множителях серьезности (от 15 до 30%), охотники за головами могут получать большие выплаты за уязвимости».
Бонусная программа M365 страница содержит дополнительную информацию о суммах вознаграждения, важных ситуациях и новом списке доменов в рамках.