Si le apasiona la búsqueda de errores/vulnerabilidades, este programa podría ser para usted.
Microsoft anunció la introducción del programa Microsoft Defender Bounty en el gigante tecnológico con sede en Redmond. última publicación del blog de seguridad. El nuevo programa recompensará a cualquier persona elegible que detecte vulnerabilidades en los productos de Microsoft.
Es bien sabido que Microsoft es atacado permanentemente por actores de amenazas y sus productos son a menudo objeto de ciberataques.
Por ejemplo, a principios de este año, los estudios han demostrado que más de El 80% de las cuentas de Microsoft 365 fueron pirateadas en 2022, y el 60% de ellos fueron pirateados con éxito. Lo que es aún más preocupante es el hecho de que Otro estudio ha demostrado que Microsoft Teams es propenso al malware moderno.
Teniendo esto en cuenta, los planes de Microsoft con el nuevo Defender Bounty Program es ofrecer recompensas de hasta 20.000 dólares a cualquiera que logre encontrar vulnerabilidades críticas.
El programa Microsoft Defender Bounty invita a investigadores de todo el mundo a identificar vulnerabilidades en los productos y servicios de Defender y compartirlas con nuestro equipo. El programa Defender comenzará con un alcance limitado, centrándose en Microsoft Defender para las API de endpoints, y se expandirá para incluir otros productos de la marca Defender con el tiempo.
microsoft
Sin embargo, antes de registrarse, hay algunos puntos que debe tener en cuenta, incluidos algunos que garantizan que sus envíos sean elegibles para el programa. Síguenos mientras los revelaremos todos.
Programa de recompensas de Microsoft Defender: ¿Cuáles son los envíos elegibles?
Para comenzar y registrarse para unirse al programa, debe ser un inquilino activo de Microsoft Defender para Endpoint, que el gigante tecnológico con sede en Redmond está más que feliz de ofrecer una prueba de 3 meses. aquí.
Dejando eso de lado, la página dedicada de la plataforma de Microsoft incluye una lista de todos los envíos elegibles que serán recompensados. Las recompensas variarán según la gravedad de la vulnerabilidad encontrada.
Estos son todos los puntos que hacen que un envío sea elegible para recibir recompensas:
- Identifique una vulnerabilidad en los productos de Defender enumerados dentro del alcance que Microsoft no haya informado previamente ni conocido de otro modo.
- Dicha vulnerabilidad debe ser de gravedad Crítica o Importante y reproducible en la última versión completamente parcheada del producto o servicio.
- Incluya pasos claros, concisos y reproducibles, ya sea por escrito o en formato de video.
- Proporcione a nuestros ingenieros la información necesaria para reproducir, comprender y solucionar rápidamente el problema.
Microsoft también solicitará a los investigadores información adicional, como por ejemplo:
- Envíelo a través del Portal de investigadores de MSRC.
- Indique en el envío de vulnerabilidad para qué escenario de alto impacto (si corresponde) califica su informe.
- Describa el vector de ataque de la vulnerabilidad.
Las recompensas oscilan entre $500 y $20,000 dependiendo de la gravedad de la vulnerabilidad, pero puedes ver todos los detalles sobre ellas a continuación.
| Tipo de vulnerabilidad | Calidad del informe | Gravedad | |||
|---|---|---|---|---|---|
| Crítico | Importante | Moderado | Bajo | ||
| Ejecución remota de código | Alto Medio Bajo |
$20,000 $15,000 $10,000 |
$15,000 $10,000 $5,000 |
$0 | $0 |
| Elevación de privilegios | Alto Medio Bajo |
$8,000 $4,000 $3,000 |
$5,000 $2,000 $1,000 |
$0 | $0 |
| Divulgación de información | Alto Medio Bajo |
$8,000 $4,000 $3,000 |
$5,000 $2,000 $1,000 |
$0 | $0 |
| suplantación de identidad | Alto Medio Bajo |
N / A | $3,000 $1,200 $500 |
$0 | $0 |
| manipulación | Alto Medio Bajo |
N / A | $3,000 $1,200 $500 |
$0 | $0 |
| Negación de servicio | Alta baja | Fuera del ámbito |
Si está interesado en el nuevo programa, puede leer más sobre él en su página dedicada, incluidos más detalles técnicos sobre la naturaleza de las presentaciones elegibles.
