A Microsoft está intensificando seus esforços para fortalecer a segurança de seus produtos. Recentemente, a gigante da tecnologia anunciou um novo programa de recompensas, o Microsoft Defender Bounty, que convida pesquisadores de todo o mundo a contribuírem para a identificação e resolução de vulnerabilidades em seus produtos Defender.
A Microsoft abriu as portas para pesquisadores de segurança de todo o mundo participarem do Microsoft Defender Bounty Program. O foco inicial está nas APIs do Defender for Endpoint, mas a empresa planeja expandir o escopo para incluir outros produtos da marca Defender ao longo do tempo. A iniciativa visa identificar e corrigir vulnerabilidades que possam comprometer a segurança dos clientes Microsoft.
Microsoft Defender e as suas recompensas generosas
Uma das características mais atrativas do programa é a amplitude das recompensas oferecidas. Os pesquisadores têm a chance de receber valores significativos, que variam de US$ 500 a impressionantes US$ 20.000, dependendo da gravidade e do impacto da vulnerabilidade identificada. A Microsoft ressalta que as recompensas mais substanciais são reservadas para bugs de execução remota de código (RCE) de gravidade crítica.
A tabela de prêmios fornece uma visão clara das categorias de vulnerabilidades e suas respectivas recompensas. Destacam-se as premiações mais altas para questões críticas de elevação de privilégios e divulgação de informações, com a possibilidade de até US$ 8.000 em recompensas. A empresa também está disposta a oferecer até US$ 3.000 para falsificação e adulteração de vulnerabilidades.
Elegibilidade e critérios do Microsoft Defender Bounty Program
Para garantir a qualidade e relevância das descobertas, a Microsoft estabeleceu critérios rigorosos para a elegibilidade das recompensas. Os pesquisadores devem identificar vulnerabilidades nos produtos Defender listados no escopo, que não tenham sido relatadas anteriormente e que sejam reproduzíveis na versão mais recente e totalmente corrigida do produto. A gravidade da vulnerabilidade deve ser classificada como Crítica ou Importante.
A empresa enfatiza a importância de fornecer informações claras e concisas, por escrito ou em formato de vídeo, para facilitar a reprodução, compreensão e correção eficiente do problema pelos engenheiros da Microsoft. Os relatórios devem ser submetidos através do Portal do Pesquisador MSRC, indicando para qual cenário de alto impacto se qualificam e descrevendo o vetor de ataque da vulnerabilidade.
Programas Cloud Bounty relacionados
Além do Microsoft Defender Bounty, a empresa possui programas relacionados, como o M365 Bounty Program, Azure Bounty Program, Azure DevOps Bounty Program, Microsoft Dynamics 365 Bounty Program e Microsoft Identity Bounty Program. Os envios que identificarem vulnerabilidades nestas áreas serão encaminhados para os programas apropriados.
Prêmios gerais e reconhecimento público
A Microsoft reconhece a importância de incentivar mesmo as descobertas que não se qualificam para recompensas monetárias. Pesquisadores cujos envios levarem a correções de vulnerabilidades podem receber reconhecimento público, participando do Programa de Reconhecimento de Pesquisador. Além disso, podem ganhar brindes e um lugar na lista de Pesquisadores Mais Valiosos da Microsoft.
União para tornar o ambiente digital mais seguro
Ao unir forças, empresas e pesquisadores podem construir uma barreira mais robusta contra ameaças cibernéticas, garantindo que a inovação tecnológica ocorra em um ambiente confiável e seguro para todos os usuários. O Microsoft Defender Bounty Program é mais do que uma iniciativa de recompensas; é um convite para a comunidade global de segurança cibernética se unir na proteção do futuro digital.
