Программа Microsoft Bug Bounty была обновлена, чтобы быстрее выплачивать действительные уязвимости. Сообщество хакеров HackerOne присоединилось в качестве партнера, чтобы ускорить проверки и обрабатывать выплаты.
По программе Microsoft Bounty в прошлом году людям, обнаружившим угрозы безопасности, было выплачено более 2 000 000 долларов, но новый шаг позволит быстрее принимать решения о выплатах в будущем.
Ускоренная проверка уже проводится для программ Cloud, Windows и Azure Devops, где награды теперь присуждаются после завершения воспроизведения и оценки каждой отправки, а не в ожидании определения окончательного исправления.
Последний шаг, в соответствии с которым HackerOne, на котором размещены программы вознаграждения за ошибки GitHub и Intel вместе с сотнями других, был добавлен в качестве партнера в качестве партнера, означает, что HackerOne будет заниматься обработкой вознаграждений за вознаграждение. Также будет больше вариантов платежей, включая PayPal, криптовалюту или прямой банковский перевод в более чем 30 валютах. HackerOne также поддерживает разделение наград и благотворительные пожертвования.
Члены HackerOne также обнаружат, что награды Microsoft bounty, обработанные через платформу HackerOne, будут влиять на их общую оценку репутации HackerOne.
Microsoft стремится подчеркнуть, что отчеты об уязвимостях по-прежнему следует отправлять в Microsoft Security Response Center напрямую, а не в HackerOne.
Наряду с новостью о партнерстве Microsoft подтвердила, что увеличивает награды и объем программы. Суммы были фактически увеличены в январе с 15 до 50 тысяч долларов для вознаграждения Windows Insider Preview и с 15 до 20 тысяч долларов для программы Microsoft Cloud Bounty, которая включает Azure, O365 и другие онлайн-сервисы. Эти награды все еще ниже, чем самый высокий платеж Microsoft. Программа Microsoft Mitigation Bypass Bounty и Bounty for Defense Program предлагает выплаты до 100 000 долларов за обход защиты.
Также есть новая политика для дубликатов. До сих пор внешние отчеты об уязвимости, о которой Microsoft уже знала внутри компании, получали только 10% соответствующей награды, поскольку отчет не помог Microsoft выявить что-либо новое. Однако на основании того, что:
«понимание того, что внешние исследователи способны открыть, — это ценное понимание, и мы хотим вознаграждать исследователей за их вклад, когда это возможно»
Microsoft изменила свою политику в отношении этих так называемых дублирующих материалов. Исследователь, первым сообщивший об уязвимости, отвечающей критериям баунти, получит полную награду за баунти, даже если она известна внутри компании.