La recompensa por errores es algo común entre los proveedores de TI y microsoft no es una excepción a la regla. La firma de Redmond ofrece varios (Azure, Bing, Dynamics 365, etc.) y acaba de anunciar un último. Esta vez se trata de su herramienta de protección contra amenazas, Defender. "El objetivo del programa Defender Bounty es descubrir vulnerabilidades importantes que tengan un impacto directo y demostrable en la seguridad de nuestros clientes". explicado el redactor. Dependiendo del tipo de fallos encontrados y de su nivel de gravedad, se pueden conceder diferentes bonificaciones.

Por lo tanto, por una falla RCE (ejecución remota de código) de nivel crítico, la recompensa alcanzará los $20,000 en comparación con los $500 por una suplantación de identidad de bajo impacto. “Son posibles recompensas más altas, a exclusivo criterio de Microsoft, dependiendo de la gravedad y el impacto de la vulnerabilidad y la calidad del envío. », Sin embargo, indica el editor. "Las presentaciones elegibles recibirán el premio más alto". Microsoft dio ejemplos de vulnerabilidades que caen dentro del alcance de esta recompensa por errores: secuencias de comandos entre sitios (XSS), falsificación de solicitudes entre sitios (CSRF), servidor (SSRF), inyección y ejecución de código del lado del servidor, mala configuración de seguridad significativa, uso de componentes. con vulnerabilidades conocidas...

Normas a seguir para participar

Microsoft dice que este programa de recompensas por errores inicialmente tendrá un alcance limitado, se centrará en las API de Defender para Endpoint y se expandirá gradualmente a otros productos posteriormente.

Para ser elegible para este programa de búsqueda de errores, el proveedor requiere que los participantes respeten ciertas reglas, como no acceder a datos que no les pertenecen por completo, salirse del alcance del PoC ejecutando comandos inapropiados, realizar pruebas por denegación de servicio, y/o automatizados generando cantidades importantes de tráfico, realizando intentos de phishing o ingeniería social contra otros usuarios…