Tin tức và phân tích của tất cả các thiết bị di động
blogs3

Giá tiền thưởng lỗi của Microsoft tăng lên 26.000 USD

Giá Microsoft Bug Bounty, được sử dụng bởi các nhà nghiên cứu bảo mật phát hiện ra lỗ hổng dịch vụ Office 365 và Microsoft Account, đã tăng lên tới 30%.

Thông báo của Trung tâm Phản hồi Bảo mật Microsoft (MSRC) cho biết: “Các giải thưởng tìm kiếm lỗi dựa trên kịch bản mới này khuyến khích các nhà nghiên cứu tập trung vào các lỗ hổng tiềm ẩn cao nhất về quyền riêng tư và bảo mật của khách hàng”.

Giá tiền thưởng lỗi của Microsoft là bao nhiêu?

Phần thưởng cho việc gửi kịch bản đủ điều kiện có thể tăng tới 30% và đạt 26.000 USD cho mỗi lỗ hổng được báo cáo. Microsoft lưu ý rằng những khiếm khuyết không được coi là “ưu tiên cao” vẫn đủ điều kiện nhận giải thưởng theo chương trình Giải thưởng Chung.

Công ty cho biết thêm: “Nếu một lỗ hổng được báo cáo không đủ điều kiện để thanh toán theo Kịch bản tác động cao, nó có thể nhận được khoản thanh toán theo Giải thưởng chung”. Tùy thuộc vào mức độ nghiêm trọng và tác động của lỗ hổng cũng như chất lượng của bản gửi, Microsoft có thể tính phí cao hơn.

Tiêu chí để tăng khoản thanh toán Microsoft Bug Bounty

  • Thực thi mã từ xa thông qua đầu vào không đáng tin cậy (CWE-94 “Kiểm soát việc tạo mã không đúng cách (‘Chèn mã’)”) 30 phần trăm
  • Thực thi mã từ xa thông qua đăng nhập không đáng tin cậy (CWE-502 “Giải tuần tự hóa dữ liệu không đáng tin cậy”) 30 phần trăm
  • Rò rỉ dữ liệu nhạy cảm giữa nhiều người thuê và nhiều danh tính1 trái phép (CWE-200 “Tiết lộ thông tin nhạy cảm với một tác nhân trái phép”) 20 phần trăm
  • 20 phần trăm rò rỉ dữ liệu nhạy cảm liên danh tính trái phép (CWE-488 “Tiếp xúc với phần tử dữ liệu trong phiên sai”)
  • Lỗ hổng “Người trợ giúp nhầm lẫn” (CWE-918 “Giả mạo yêu cầu phía máy chủ (SSRF)”) có thể bị khai thác trong một cuộc tấn công thực tế bỏ qua xác thực và truy cập tài nguyên 15%

Ngay cả khi bạn không phải là nhà nghiên cứu bảo mật, bạn vẫn có thể kiếm tiền từ Microsoft. Rồi sao?

Microsoft cũng mở rộng các chương trình thưởng lỗi cho Exchange, SharePoint và Skype đã thông báo rằng nó đang mở rộng để bao gồm Enterprise. Giờ đây, các nhà nghiên cứu bảo mật có thể khám phá và báo cáo các lỗ hổng trong máy chủ Exchange và SharePoint để kiếm được phần thưởng từ 500 USD đến 26.000 USD. Dựa trên các yếu tố nghiêm trọng (từ 15% đến 30%), những người săn tiền thưởng có thể được trả nhiều tiền hơn cho các lỗ hổng.

Chương trình phần thưởng M365 Bạn có thể tìm hiểu thêm về số tiền thưởng và danh sách phạm vi mới trên trang.

Khuyến Khích: