За последние 12 месяцев Microsoft выплатила 13,6 млн долл. в качестве вознаграждения за обнаруженные уязвимости более чем 340 исследователям безопасности из 58 стран в рамках программ Bug Bounty — выплат за информацию о критических ошибках в собственном программном обеспечении. За год компанией было получено более чем 1 200 отчетов о потенциальных и реальных уязвимостях. Всего на данный момент Microsoft поддерживает 17 Bug Bounty программ. Самая крупная награда составила 200 тыс. долл. в рамках программы Hyper-V Bounty Program. А средний размер одной награды составил 10 тыс. долл.
Результаты Bug Bounty
Microsoft постоянно оценивает актуальную ситуацию с киберугрозами, чтобы совершенствовать свои продукты, и прислушивается к отзывам сторонних экспертов, способствуя обмену информации в этой сфере. Сотрудничество с сообществом экспертов является важной частью комплексного подхода Microsoft к обеспечению безопасности своих пользователей. Программы Bug Bounty – одна из составляющих этого сотрудничества. Обнаруживая уязвимости и сообщая о них в Microsoft через программу Coordinated Vulnerability Disclosure (CVD), исследователи помогают обеспечивать защиту данных миллионов пользователей во всем мире.
В этом году в список направлений для получения наград были добавлены новые задачи и сценарии. Это помогло не только обнаружить и устранить актуальные риски конфиденциальности и безопасности клиентов, но и предложить исследователям достойные награды за их важную работу. Вот список программ Bug Bounty запущенных или обновленных Microsoft в этом и прошлом годах: программа предварительной оценки операционной системы Windows разработчиками (Windows Insider Preview Bounty Program) была обновлена в июле 2020; программа скоординированного разглашения сведений об ошибках (Researcher Recognition Program) — обновлена в феврале 2021; программа обнаружения ошибок в облачных сервисах компании (Microsoft Applications Bounty Program, Teams Desktop) — запущена в марте 2021; и даже разработка пост-квантовых алгоритмов шифрования (SIKE Cryptographic Challenge) — запущена в июне 2021.
Поскольку именно продукты Microsoft оказались достаточно популярными и установлены в большом количестве по всему миру, то исправление ошибок в них является важной задачей. Хотя компания делает все возможное, чтобы сделать разработку новых продуктов максимально безопасной, тем не менее ошибки все равно обнаруживаются независимыми исследователями. Чтобы они не продавали сведения об уязвимостях на черном рынке компании приходиться выкупать их у разработчиков. В результате, уже сформировалась целая отрасль исследователей, которые зарабатывают на обнаружении уязвимостей в продуктах Microsoft и получают за них неплохие деньги.
