Se sei appassionato della caccia a bug/vulnerabilità, questo programma potrebbe fare al caso tuo.
Microsoft ha annunciato l'introduzione del programma Microsoft Defender Bounty nel gigante tecnologico con sede a Redmond ultimo post del blog sulla sicurezza. Il nuovo programma premierà qualsiasi individuo idoneo che individui vulnerabilità all'interno dei prodotti Microsoft.
È noto che Microsoft è costantemente attaccata da autori di minacce e i suoi prodotti sono spesso oggetto di attacchi informatici.
Ad esempio, all’inizio di quest’anno, gli studi hanno dimostrato che è finita L’80% degli account Microsoft 365 sono stati violati nel 2022, di cui il 60% è stato violato con successo. Ciò che è ancora più preoccupante è il fatto che un altro studio ha dimostrato che Microsoft Teams è incline al malware moderno.
Con questo in mente, i piani di Microsoft con il nuovo programma Defender Bounty sono di offrire premi fino a $ 20.000 a chiunque riesca a trovare vulnerabilità critiche.
Il programma Microsoft Defender Bounty invita i ricercatori di tutto il mondo a identificare le vulnerabilità nei prodotti e servizi Defender e a condividerli con il nostro team. Il programma Defender inizierà con un ambito limitato, concentrandosi su Microsoft Defender per le API Endpoint, e si espanderà per includere nel tempo altri prodotti del marchio Defender.
Microsoft
Tuttavia, prima di iscriverti, ci sono alcuni punti di cui devi essere a conoscenza, inclusi alcuni che garantiscono che i tuoi contributi siano idonei per il programma. Seguiteci mentre li sveleremo tutti.
Programma Microsoft Defender Bounty: quali sono gli invii idonei?
Per iniziare e iscriverti al programma, devi essere un tenant attivo di Microsoft Defender for Endpoint, che il colosso tecnologico con sede a Redmond è più che felice di offrire una prova di 3 mesi Qui.
Detto questo, la pagina dedicata della piattaforma Microsoft include un elenco di tutti i contributi idonei che verranno premiati. Le ricompense varieranno a seconda della gravità della vulnerabilità rilevata.
Ecco tutti i punti che rendono un invio idoneo per i premi:
- Identificare una vulnerabilità nei prodotti Defender elencati nell'ambito che non è stata precedentemente segnalata o altrimenti conosciuta da Microsoft.
- Tale vulnerabilità deve essere di gravità Critica o Importante e riproducibile sulla versione più recente e completa di patch del prodotto o servizio.
- Includere passaggi chiari, concisi e riproducibili, sia per iscritto che in formato video.
- Fornisci ai nostri tecnici le informazioni necessarie per riprodurre, comprendere e risolvere rapidamente il problema.
Microsoft chiederà inoltre ai ricercatori ulteriori informazioni, come ad esempio:
- Invia tramite il portale dei ricercatori MSRC.
- Indica nell'invio della vulnerabilità per quale scenario ad alto impatto (se presente) è idoneo il tuo rapporto.
- Descrivere il vettore di attacco per la vulnerabilità.
I premi vanno da $ 500 a $ 20.000 a seconda della gravità della vulnerabilità, ma puoi vedere tutti i dettagli di seguito.
| Tipo di vulnerabilità | Rapporto sulla qualità | Gravità | |||
|---|---|---|---|---|---|
| Critico | Importante | Moderare | Basso | ||
| Esecuzione del codice remoto | Alto medio Basso |
$20,000 $15,000 $10,000 |
$15,000 $10,000 $5,000 |
$0 | $0 |
| Elevazione del privilegio | Alto medio Basso |
$8,000 $4,000 $3,000 |
$5,000 $2,000 $1,000 |
$0 | $0 |
| Rivelazione di un 'informazione | Alto medio Basso |
$8,000 $4,000 $3,000 |
$5,000 $2,000 $1,000 |
$0 | $0 |
| Spoofing | Alto medio Basso |
N / A | $3,000 $1,200 $500 |
$0 | $0 |
| Manomissione | Alto medio Basso |
N / A | $3,000 $1,200 $500 |
$0 | $0 |
| Negazione del servizio | Alto/Basso | Fuori portata |
Se sei interessato al nuovo programma, puoi leggere ulteriori informazioni su la sua pagina dedicata, compresi dettagli più tecnici sulla natura delle proposte ammissibili.
