No âmbito de um novo programa de recompensas por bugs, a Microsoft anunciou que está disposta a pagar até 20 mil dólares para quem achar falhas nos produtos Defender, software de segurança para remoção de malware, trojan, spyware e adware instalados em computadores.
De acordo com a Microsoft, os participantes do Microsoft Defender Bounty Program, podem ganhar entre 500 dólares a 20.000 dólares pelas falhas identificadas, dependendo do impacto e da qualidade do relatório. As recompensas mais altas podem ser concedidas para bugs de execução remota de código de gravidade crítica, até 8.000 dólares para questões críticas de elevação de privilégios e divulgação de informações e até 3.000 para falsificação e adulteração de vulnerabilidades.
A Microsoft revela que para se qualificar no programa de recompensa de bug Bounty, os pesquisadores precisam relatar falhas que estão dentro do escopo do programa que não foram relatadas anteriormente e que podem ser reproduzidas na versão mais recente e totalmente corrigida do produto.
“O escopo do programa Defender Bounty é limitado a vulnerabilidades técnicas em produtos e serviços relacionados ao Defender. Se o pesquisador descobrir dados de clientes enquanto conduz a sua pesquisa ou não tiver certeza que é seguro prosseguir, pare e entre em contato connosco”, observa a Microsoft.
Os relatórios que cobrem componentes com vulnerabilidades conhecidas também devem incluir código de exploração de prova de conceito (PoC), precisam ser claros e concisos e devem incluir as informações necessárias para reproduzir o assunto. Todos os relatórios devem ser enviados através do Portal do Pesquisador MSRC, indicar para qual cenário de alto impacto eles se qualificam e devem descrever o vector de ataque do bug.
Já assistiu aos nossos vídeos no YouTube? Inscreva-se no nosso canal clicando aqui !!!