Hvis du brænder for bug-/sårbarhedsjagt, er dette program måske noget for dig.
Microsoft annoncerede introduktionen af Microsoft Defender Bounty Program i den Redmond-baserede teknologigigants seneste sikkerhedsblogindlæg. Det nye program vil belønne enhver kvalificeret person, der opdager sårbarheder i Microsoft-produkter.
Det er velkendt, at Microsoft er permanent angrebet af trusselsaktører, og dets produkter er ofte genstand for cyberangreb.
For eksempel har undersøgelser tidligere i år vist, at det er overstået 80 % af Microsoft 365-konti blev hacket i 2022, hvor 60 % af dem blev hacket med succes. Hvad der er endnu mere bekymrende er det faktum, at en anden undersøgelse har vist, at Microsoft Teams er tilbøjelig til moderne malware.
Med dette i tankerne er Microsofts planer med det nye Defender Bounty-program at tilbyde belønninger op til $20.000 til enhver, der formår at finde kritiske sårbarheder.
Microsoft Defender Bounty Program inviterer forskere over hele kloden til at identificere sårbarheder i Defender-produkter og -tjenester og dele dem med vores team. Defender-programmet vil begynde med et begrænset omfang, med fokus på Microsoft Defender for Endpoint API'er, og vil udvides til at omfatte andre produkter i Defender-mærket over tid.
Microsoft
Men før du tilmelder dig, er der nogle punkter, du skal være opmærksom på, herunder nogle, der sikrer, at dine bidrag er berettiget til programmet. Følg med, da vi afslører dem alle.
Microsoft Defender Bounty Program: Hvad er de kvalificerede bidrag?
For at komme i gang og tilmelde dig programmet, skal du være en aktiv Microsoft Defender for Endpoint lejemål, som den Redmond-baserede teknologigigant mere end gerne giver en prøveperiode på 3 måneder her.
For at fjerne det, indeholder Microsofts dedikerede side på platformen en liste over alle de kvalificerede indsendelser, der vil blive belønnet. Belønningerne vil variere afhængigt af sværhedsgraden af den fundne sårbarhed.
Her er alle de punkter, der gør en indsendelse berettiget til belønninger:
- Identificer en sårbarhed i anførte Defender-produkter, der ikke tidligere er rapporteret til eller på anden måde kendt af Microsoft.
- En sådan sårbarhed skal være kritisk eller vigtig og kunne reproduceres på den seneste, fuldt korrigerede version af produktet eller tjenesten.
- Medtag klare, kortfattede og reproducerbare trin, enten skriftligt eller i videoformat.
- Giv vores ingeniører de nødvendige oplysninger til hurtigt at reproducere, forstå og løse problemet.
Microsoft vil også bede forskere om yderligere oplysninger, såsom:
- Indsend via MSRC Researcher Portal.
- Angiv i sårbarhedsindsendelsen, hvilket scenarie med stor effekt (hvis nogen) din rapport er kvalificeret til.
- Beskriv angrebsvektoren for sårbarheden.
Belønningerne spænder fra $500 til $20.000 afhængigt af sværhedsgraden af sårbarheden, men du kan se alle detaljerne om dem nedenfor.
| Sårbarhedstype | Rapportkvalitet | Alvorlighed | |||
|---|---|---|---|---|---|
| Kritisk | Vigtig | Moderat | Lav | ||
| Fjernudførelse af kode | Høj Medium Lav |
$20,000 $15,000 $10,000 |
$15,000 $10,000 $5,000 |
$0 | $0 |
| Forhøjelse af privilegier | Høj Medium Lav |
$8,000 $4,000 $3,000 |
$5,000 $2,000 $1,000 |
$0 | $0 |
| Offentliggørelse af oplysninger | Høj Medium Lav |
$8,000 $4,000 $3,000 |
$5,000 $2,000 $1,000 |
$0 | $0 |
| Spoofing | Høj Medium Lav |
N/A | $3,000 $1,200 $500 |
$0 | $0 |
| Indgreb | Høj Medium Lav |
N/A | $3,000 $1,200 $500 |
$0 | $0 |
| Denial of Service | Høj lav | Ude af sigte |
Hvis du er interesseret i det nye program, kan du læse mere om det på dens dedikerede side, herunder flere tekniske detaljer om arten af de støtteberettigede indlæg.
