В последнее время Microsoft пришлось отдуваться за несколько уязвимостей, которые толком не были залатаны и из-за чего обнародованы в публичном доступе компанией Google. В ответ на подобную практику Microsoft увеличила вознаграждение за поиск уязвимостей в продуктах компании. Теперь за найденную дыру или угрозу Microsoft заплатит до 30 000 долларов. Чтобы получить награду надо отчитаться о результатах поисков в период между 1 и 31 марта 2017 года.
Список доменов (всего 18 штук), которые попадают под программу вознаграждения. Они включают в себя разные популярные сервисы, вроде portal.office.com, outlook.com, sharepoint.com и другие.
Microsoft хочет, чтобы исследователи проверили домены и конечные точки на наличие различных типов багов и уязвимостей, вроде межсайтового скриптинга, исполнения вредоносного кода на серверной стороне, уязвимостей процесса аутентификации, преувеличения прав доступа и других неполадок. Если взломщик (в позитивном значении слова) получит от Microsoft вознаграждение, компанию не будет подгонять риск раскрытия уязвимости и разработчики смогут спокойно залатать дыры в безопасности. При этом стоит отметить, что 30 000 долларов – это не предел мечтаний. Хакеры могут получить куда больше денег за продажу своих находок в теневом интернете. Разумеется, подобная практика является незаконной и может повлечь за собой весьма печальные последствия как для Microsoft, так и для тех, кто продал данные злоумышленникам.
Подробнее о программе вознаграждения можно узнать по ссылке:
Online Services Bug Bounty Guidelines