Microsoft recompensează participanții în cadrul programului său de identificare a vulnerabilităților

Microsoft recompensează participanții în cadrul programului său de identificare a vulnerabilităților

În numeroasele noastre articole, am explorat amenințările cibernetice și extinderea globală a hackingului. Astăzi, vom aborda cealaltă parte a baricadei, și anume hackingul etic și inițiativele proactive adoptate de companii pentru a implica activ comunitatea în identificarea vulnerabilităților și îmbunătățirea securitatății cibernetice.

Rating: 5.0 (3 voturi)
Noutăți 24.11.2023

În ultimii zece ani, Microsoft a acordat recompense în valoare de zeci milioane de dolari cercetătorilor de securitate care au participat la programele sale de recompensare pentru găsirea de bug-uri. Luni, Microsoft a anunțat că a acordat 63 de milioane de dolari în recompense cercetătorilor de securitate care participă la programele sale de recompensare pentru găsirea de bug-uri.

Gigantul tehnologic a lansat primele sale programe de recompensare pentru găsirea de bug-uri în 2013, când primea rapoarte despre tehnici de exploatare în Windows 8.1 și defecte în versiunea de previzualizare a Internet Explorer 11.

Inițial, Microsoft primea mai puțin de 100 de rapoarte anual de la câțiva zeci de cercetători care participau. Compania plătea câteva sute de dolari în recompense anual.


 

Extinderea programelor de recompensare pentru bug-uri și evoluția politicilor de remunerare în ultimii 10 ani

Acum, compania desfășoară 17 programe de recompensare pentru găsirea de bug-uri care acoperă Azure, Edge, Microsoft 365, Windows, Xbox și altele, cu recompense de până la 250.000 de dolari pentru bug-uri cu impact mare în hipervizorul Hyper-V.

Potrivit Microsoft, mii de cercetători de securitate din 70 de țări primesc acum recompense pentru găsirea de bug-uri. Studenți, academicieni și profesioniști în domeniul securității cibernetice participă, de asemenea, la programele de recompensare pentru găsirea de bug-uri ale companiei.

Din totalul de 63 de milioane de dolari acordate începând din 2013, 60 de milioane au fost plătite în ultimii cinci ani, afirmă compania. Din 2020, Microsoft a acordat peste 13 milioane de dolari anual aproximativ 300 de cercetători.

Datele din programe sunt o parte critică a echipelor de produs și securitate în livrarea de îmbunătățiri și atenuări de securitate mai ample decât soluții izolate pentru bug-uri.

De la 2013, Microsoft și-a schimbat de mai multe ori politica de recompense pentru găsirea de bug-uri, oferind plăți monetare chiar și pentru bug-uri descoperite deja intern și făcând mai clar pentru cercetători ce rapoarte de vulnerabilități sunt eligibile.

Suma recompenselor a fost, de asemenea, crescută, concentrându-se pe defecte cu impact crescut asupra clienților, iar timpul de remediere a fost redus, afirmă gigantul tehnologic.



Programul nou de recompense pentru găsirea de bug-uri Microsoft se concentrează pe Bing

Microsoft a anunțat un nou program de recompensare pentru găsirea de bug-uri axat pe experiența Bing alimentată de AI, cu recompense care ajung până la 15.000 de dolari.

Cu experiența Bing alimentată de AI ca prim produs în scopul noului program de recompensare pentru găsirea de bug-uri, cercetătorii de securitate pot trimite vulnerabilități găsite în lista următoare de servicii și produse eligibile:

  • Experiențele Bing alimentate de AI pe bing.com în Browser (Toți furnizorii importanți sunt acceptați, inclusiv Bing Chat, Bing Chat for Enterprise și Bing Image Creator);
  • Integrarea Bing alimentată de AI în Microsoft Edge (Windows), inclusiv Bing Chat for Enterprise;
  • Integrarea Bing alimentată de AI în aplicația Microsoft Start (iOS și Android);
  • Integrarea Bing alimentată de AI în aplicația mobilă Skype (iOS și Android).

Programul de recompensare pentru bug-uri AI Microsoft invită cercetători de securitate din întreaga lume să descopere vulnerabilități în experiența Bing alimentată de AI. Submisii calificate sunt eligibile pentru recompense de la 2.000 la 15.000 de dolari.


Pe lângă problemele enumerate în Clasificarea de Severitate a Vulnerabilităților Microsoft pentru Sistemele AI, cercetătorii sunt încurajați să raporteze vulnerabilități care duc la:

  • Modificarea comportamentului de chat Bing în toate frontierele utilizatorilor, adică schimbarea AI în moduri care ar putea afecta toți ceilalți utilizatori;
  • Ajustarea comportamentului de chat Bing prin modificarea configurației vizibile a clientului și/sau serverului, inclusiv schimbarea indicatoarelor de depanare și caracteristicilor;
  • Ocolirea măsurilor de protecție Bing legate de ștergerea memoriei și istoricului între conversații;
  • Divulgarea mecanismelor interne ale lui Bing și a informațiilor  confidențiale referitoare procese decizionale.


Ocolirea limitărilor și regulilor din sesiunile de chat ale lui Bing

Compania a evidențiat, de asemenea, o listă lungă de probleme și tipuri de vulnerabilități care sunt în afara scopului, inclusiv cele care ar afecta doar atacatorul, unele atacuri de halucinație ale modelului, răspunsuri inexacte sau ofensatoare la chat și altele. Parteneriatul cu cercetătorii de securitate prin programele de recompensare pentru găsirea de bug-uri este o parte esențială a strategiei holistice a Microsoft de a proteja clienții de amenințările la adresa securității.

Anul trecut, compania a adăugat Exchange, SharePoint și Skype for Business în programul său de recompensare pentru găsirea de bug-uri și a crescut recompensele maxime pentru defectele de securitate cu impact mare raportate prin programul Microsoft 365.


Pe lângă Microsoft, numeroase alte companii au demarat campanii similare, printre care se numără: Intel (programul de recompensare al Intel vizează în principal hardware-ul, firmware-ul și software-ul companiei), Yahoo (Yahoo dispune de o echipă dedicată care acceptă rapoarte de vulnerabilități de la cercetători în securitate și hackeri etici), Cisco (Cisco încurajează persoanele sau organizațiile care întâmpină probleme de securitate legate de produse să le raporteze companiei), Facebook (sub programul de recompensare pentru bug-uri al Facebook, utilizatorii pot raporta probleme de securitate pe Facebook, Instagram, Atlas, WhatsApp etc.).


Articolul evidențiază implicarea hotărâtă a companiilor în promovarea securității cibernetice prin recompensarea specialiștilor care identifică și raportează vulnerabilități. Pe parcursul ultimilor ani, aceste companii au făcut eforturi pentru a implica comunitățile la nivel global, extinzând programele lor de recompensare odată cu sumele oferite pentru identificarea și remedierea bug-urilor cu impact în diverse platforme. Eforturile constante de a atrage comunitatea globală de cercetători în identificarea vulnerabilităților subliniază importanța colaborării în direcția unei experiențe online mai sigure.

Programul de recompensare pentru identificarea vulnerabilităților reprezintă un exemplu concret al modului în care marile companii de software încurajează hackingul etic și își propun să inoveze în abordarea securității cibernetice. Acest angajament activ în remedierea vulnerabilităților este un efort comun al întregii industrii pentru a motiva comunitatea cibernetică să se alăture eforturilor de rezolvare, transformând ceea ce ar putea fi perceput inițial ca o amenințare într-o oportunitate de a contribui la securitatea digitală globală.



Sursa1, sursa2, sursa3