Se você é apaixonado por caça a bugs/vulnerabilidades, este programa pode ser para você.
A Microsoft anunciou a introdução do Microsoft Defender Bounty Program na gigante da tecnologia com sede em Redmond última postagem do blog de segurança. O novo programa recompensará qualquer indivíduo elegível que detectar vulnerabilidades nos produtos Microsoft.
É bem sabido que a Microsoft é permanentemente atacada por agentes de ameaças e os seus produtos são frequentemente alvo de ataques cibernéticos.
Por exemplo, no início deste ano, estudos demonstraram que mais de 80% das contas do Microsoft 365 foram hackeadas em 2022, com 60% deles sendo hackeados com sucesso. O que é ainda mais preocupante é o fato de que outro estudo mostrou que o Microsoft Teams está sujeito a malware moderno.
Com isso em mente, os planos da Microsoft com o novo Programa Defender Bounty é oferecer recompensas de até US$ 20.000 para quem conseguir encontrar vulnerabilidades críticas.
O Programa Microsoft Defender Bounty convida pesquisadores de todo o mundo a identificar vulnerabilidades em produtos e serviços Defender e compartilhá-las com nossa equipe. O programa Defender começará com um escopo limitado, com foco nas APIs do Microsoft Defender para Endpoint, e será expandido para incluir outros produtos da marca Defender ao longo do tempo.
Microsoft
No entanto, antes de se inscrever, há alguns pontos que você precisa conhecer, incluindo alguns que garantem que seus envios sejam elegíveis para o programa. Acompanhe enquanto revelaremos todos eles.
Programa de recompensas do Microsoft Defender: quais são os envios elegíveis?
Para começar e se inscrever para ingressar no programa, você deve ser um locatário ativo do Microsoft Defender for Endpoint, que a gigante da tecnologia com sede em Redmond tem o prazer de oferecer uma avaliação de 3 meses aqui.
Tirando isso do caminho, a página dedicada da plataforma da Microsoft inclui uma lista de todos os envios elegíveis que serão recompensados. As recompensas irão variar dependendo da gravidade da vulnerabilidade encontrada.
Aqui estão todos os pontos que tornam um envio elegível para recompensas:
- Identifique uma vulnerabilidade nos produtos Defender listados no escopo que não tenha sido relatada anteriormente ou conhecida pela Microsoft.
- Essa vulnerabilidade deve ser de gravidade Crítica ou Importante e reproduzível na versão mais recente e totalmente corrigida do produto ou serviço.
- Inclua etapas claras, concisas e reproduzíveis, por escrito ou em formato de vídeo.
- Forneça aos nossos engenheiros as informações necessárias para reproduzir, compreender e corrigir rapidamente o problema.
A Microsoft também solicitará informações adicionais aos pesquisadores, como:
- Envie através do Portal do Pesquisador MSRC.
- Indique no envio da vulnerabilidade para qual cenário de alto impacto (se houver) seu relatório se qualifica.
- Descreva o vetor de ataque da vulnerabilidade.
As recompensas variam de US$ 500 a US$ 20.000 dependendo da gravidade da vulnerabilidade, mas você pode ver todos os detalhes sobre elas abaixo.
| Tipo de vulnerabilidade | Qualidade do relatório | Gravidade | |||
|---|---|---|---|---|---|
| Crítico | Importante | Moderado | Baixo | ||
| Execução Remota de Código | Alto Médio Baixo |
$20,000 $15,000 $10,000 |
$15,000 $10,000 $5,000 |
$0 | $0 |
| Elevação de Privilégio | Alto Médio Baixo |
$8,000 $4,000 $3,000 |
$5,000 $2,000 $1,000 |
$0 | $0 |
| Divulgação de informação | Alto Médio Baixo |
$8,000 $4,000 $3,000 |
$5,000 $2,000 $1,000 |
$0 | $0 |
| Falsificação | Alto Médio Baixo |
N / D | $3,000 $1,200 $500 |
$0 | $0 |
| Adulteração | Alto Médio Baixo |
N / D | $3,000 $1,200 $500 |
$0 | $0 |
| Negação de serviço | Alto/Baixo | Fora do escopo |
Se você estiver interessado no novo programa, você pode ler mais sobre ele em sua página dedicada, incluindo mais detalhes técnicos sobre a natureza das inscrições elegíveis.
