אם אתה נלהב מציד באגים/פגיעות, תוכנית זו עשויה להיות בשבילך.
מיקרוסופט הודיעה על הצגת תוכנית Microsoft Defender Bounty Program בענקית הטכנולוגיה מרדמונד הפוסט האחרון בבלוג האבטחה. התוכנית החדשה תתגמל כל אדם זכאי שיזהה נקודות תורפה במוצרי Microsoft.
ידוע שמיקרוסופט מותקפת לצמיתות על ידי גורמי איומים, והמוצרים שלה הם לרוב נושאים למתקפות סייבר.
לדוגמה, מוקדם יותר השנה, מחקרים הראו שזה נגמר 80% מחשבונות Microsoft 365 נפרצו ב-2022, כאשר 60% מהם נפרצו בהצלחה. מה שעוד יותר מדאיג היא העובדה ש מחקר אחר הראה ש-Microsoft Teams נוטה לתוכנות זדוניות מודרניות.
עם זאת בחשבון, התוכניות של מיקרוסופט עם תוכנית Defender Bounty החדשה היא להציע תגמולים של עד 20,000 $ לכל מי שמצליח למצוא נקודות תורפה קריטיות.
תוכנית Microsoft Defender Bounty מזמינה חוקרים מכל העולם לזהות נקודות תורפה במוצרים ובשירותים של Defender ולשתף אותם עם הצוות שלנו. תוכנית Defender תתחיל בהיקף מוגבל, תוך התמקדות ב-Microsoft Defender for Endpoint APIs, ותתרחב לכלול מוצרים אחרים במותג Defender לאורך זמן.
מיקרוסופט
עם זאת, לפני ההרשמה, יש כמה נקודות שאתה צריך להיות מודע אליהן, כולל כמה שמבטיחות שההגשות שלך כשירות לתוכנית. תעקבו אחרי שנחשוף את כולם.
Microsoft Defender Bounty Program: מהן ההגשות הכשירות?
כדי להתחיל ולהירשם להצטרפות לתוכנית, אתה חייב להיות Microsoft Defender פעיל לשכירות בנקודות קצה, שענקית הטכנולוגיה מרדמונד יותר משמחה לתת ניסיון של 3 חודשים כאן.
אם מוציאים את זה מהדרך, העמוד הייעודי של מיקרוסופט בפלטפורמה כולל רשימה של כל ההגשות הכשירות שיתגמלו. התגמולים ישתנו בהתאם לחומרת הפגיעות שנמצאה.
להלן כל הנקודות שהופכות הגשה לזכאית לתגמולים:
- זהה פגיעות במוצרי Defender המפורטים בטווח הרלוונטי, שלא דווחה בעבר ל-Microsoft, או ידועה אחרת על ידי Microsoft.
- פגיעות כזו חייבת להיות בדרגת חומרה קריטית או חשובה וניתנת לשחזור בגרסה העדכנית והמעודכנת במלואה של המוצר או השירות.
- כלול שלבים ברורים, תמציתיים וניתנים לשחזור, בכתב או בפורמט וידאו.
- ספק למהנדסים שלנו את המידע הדרוש כדי לשחזר, להבין ולתקן במהירות את הבעיה.
מיקרוסופט גם תבקש מהחוקרים מידע נוסף, כגון:
- שלח דרך פורטל המחקר MSRC.
- ציין בהגשת הפגיעות לאיזה תרחיש בעל השפעה גבוהה (אם בכלל) הדוח שלך מתאים.
- תאר את וקטור ההתקפה עבור הפגיעות.
התגמולים נעים בין $500 ל-$20,000 תלוי בחומרת הפגיעות, אבל אתה יכול לראות את כל הפרטים עליהם למטה.
| סוג פגיעות | איכות הדיווח | חוּמרָה | |||
|---|---|---|---|---|---|
| קריטי | חָשׁוּב | לְמַתֵן | נָמוּך | ||
| ביצוע קוד מרחוק | גָבוֹהַ בינוני נָמוּך |
$20,000 $15,000 $10,000 |
$15,000 $10,000 $5,000 |
$0 | $0 |
| העלאת זכות | גָבוֹהַ בינוני נָמוּך |
$8,000 $4,000 $3,000 |
$5,000 $2,000 $1,000 |
$0 | $0 |
| גילוי מידע | גָבוֹהַ בינוני נָמוּך |
$8,000 $4,000 $3,000 |
$5,000 $2,000 $1,000 |
$0 | $0 |
| זיוף | גָבוֹהַ בינוני נָמוּך |
לא | $3,000 $1,200 $500 |
$0 | $0 |
| התעסקות | גָבוֹהַ בינוני נָמוּך |
לא | $3,000 $1,200 $500 |
$0 | $0 |
| מניעת שירות | גבוה נמוך | מחוץ לכוונת |
אם אתה מעוניין בתוכנית החדשה, תוכל לקרוא עליה עוד העמוד הייעודי שלו, כולל פרטים טכניים נוספים על אופי ההגשות הכשירות.
