A Microsoft revisou seu programa de recompensas por vulnerabilidades e pagará pesquisadores pela descoberta de vulnerabilidades em todos os seus produtos e serviços, mesmo aqueles que não possuem programas de recompensa estabelecidos. A nova abordagem de “escopo padrão” inclui recompensas até mesmo para vulnerabilidades críticas descobertas em aplicativos de terceiros.
Tom Gallagher, vice-presidente do Centro de Resposta de Segurança da Microsoft (MSRC), anunciou a nova abordagem da empresa para o pagamento de recompensas por vulnerabilidades, que ela chama de “escopo padrão”. De acordo com o novo modelo, o MSRC pagará recompensas a pesquisadores que relatarem vulnerabilidades críticas que tenham um impacto mensurável nos serviços online da Microsoft.
“Independentemente de o código ser de propriedade da Microsoft, de terceiros ou de código aberto, faremos tudo o que for necessário para resolver o problema”, disse Gallagher. “Nosso objetivo é incentivar a pesquisa nas áreas de maior risco, especialmente aquelas com maior probabilidade de serem exploradas por invasores.” Ele acrescentou que os pagamentos para a mesma classe de vulnerabilidade e nível de gravidade serão os mesmos, seja em código de terceiros ou em um produto da Microsoft.
“Onde não existirem programas de recompensa por vulnerabilidades, reconheceremos e recompensaremos ideias diversas da comunidade de pesquisa em segurança, independentemente da área de atuação de seus especialistas. Isso inclui domínios e infraestrutura corporativa pertencentes à Microsoft e”Gerenciado por ele”, acrescentou Gallagher.
A abordagem de “escopo padrão” significa que até mesmo novos produtos e serviços são cobertos pelos programas de recompensas por vulnerabilidades, incluindo aqueles para os quais nenhum programa específico foi designado no lançamento.
Essa mudança representa uma alteração radical no sistema de recompensas por vulnerabilidades do MSRC, que antes era estritamente regulamentado em relação aos tipos de vulnerabilidades que mereciam uma recompensa e quais produtos ou serviços eram incluídos no programa.
“A transição para um modelo de recompensas com escopo padrão visa fortalecer nossa segurança diante do cenário de ameaças em constante evolução, particularmente em computação em nuvem e inteligência artificial”, explicou Gallagher.
A Microsoft lançou seu programa de recompensas por vulnerabilidades em 2013, após anos de solicitações de pesquisadores de segurança. Embora muitos tenham se beneficiado financeiramente do programa desde então, muitos reclamaram do processo de inscrição complicado, da resposta lenta da empresa e das conclusões questionáveis das análises.
Segundo a Microsoft, a empresa pagou mais de 17 milhões de dólares a pesquisadores no ano passado por meio de seu programa de recompensas por vulnerabilidades e da competição Zero Day Quest, e espera novos aumentos nos gastos.