Microsoft будет покупать информацию о багах

Microsoft сообщила о запуске программы финансового вознаграждения за информацию об уязвимостях в ее программном обеспечении. Напомним, что ранее софтверный гигант предлагал денежные вознаграждения только в рамках специальных конференций и хакерских марафонов. Так, во время последней конференции BlueHat компания предложила призовой фонд в 250 000$. Однако постоянной BugBounty-программы у нее до сих пор не было.

«Это самая правильная и умная вещь, которую мы можем сделать», — говорит Кэти Муссурис, старший специалист по безопасности в Microsoft Security Response Center. «Мы оценили, что именно делали специалисты и заметили, что тренды информирования о проблемах изменились. Еще несколько лет назад о многих багах в Microsoft сообщали напрямую, потому этот тренд себя исчерпал. Мы хотим его возродить».

В компании говорят, что программа вознаграждения работает в том числе и в отношении предрелизных продуктов, таких как Internet Explorer 11 или Windows 8.1, бета-версии которых появятся 26 июня.

Согласно списку, опубликованному корпорацией, в зависимости от степени опасности проблемы варьируется и размер вознаграждения. В то случае, если разработчик обнаружит баг, который позволяет сделать рабочий эксплоит и обойти систему безопаности на уровне платформы, то он получит до 100 000$. Так называемые «дыры в броне» — это самый опасный для компании вариант бага и за него полагается самое высокое вознаграждение. Фактически, данное вознаграждение даже превышает 50 000$, которые компания выплачивала на BlueHat. В компании говорят, что для разных продуктов сетка вознаграждений различна.