اخبار فناوری

پنج شنبه 19 اسفند 1395

جایزه‌ ۳۰ هزار دلاری مایکروسافت برای محققان باگ در سرویس‌هایش

جایزه‌ ۳۰ هزار دلاری مایکروسافت برای محققان باگ در سرویس‌هایش

مایکروسافت به مدت سه ماه، جایزه‌ای ۳۰ هزار دلاری برای محققان باگ در سرویس‌هایش در نظر گرفته است.
در چند هفته‌ی گذشته، گوگل با انتشار جزئیاتی از باگ‌های امنیتی ویندوز ۱۰، مایکروسافت را با مشکلات بزرگی روبه‌رو کرده است.

مایکروسافت برای پاسخ به این چالش، جایزه‌ی پیدا کردن باگ یا Bug Bounty خود را دو برابر کرده و آن را به ۳۰ هزار دلار رسانده است. این جایزه در مدت محدود سه‌ماهه از ابتدای ماه مارس تا پایان ماه می در نظر گرفته شده است و به محققان امنیتی که بتوانند باگ‌های مشخصی در سرویس‌های مایکروسافت پیدا کنند، اهدا خواهد شد.

البته اگر این شرکت برای یافتن باگ‌ها از محققان استخدام‌شده استفاده کند، زمان تصمیم‌گیری و مقابله با آن‌ها را در اختیار خواهد داشت و قبل از افشای عمومی می‌تواند باگ‌ها را برطرف کند. اما با انجام روند جدید، مایکروسافت تحت فشار بازه‌ی زمانی سه‌ماهه قرار خواهد داشت که محققان مستقل به‌طور حتم پس از این زمان، باگ‌ها را به‌صورت عمومی منتشر خواهند کرد.

برخی از سرویس‌های مورد آزمایش در این طرح عبارتند از:

portal.office.com
outlook.office365.com
outlook.office.com
outlook.com
مجموع این دامین‌ها به ۱۸ عدد می‌رسد و علاوه بر آن‌ها، ۳۷ نقطه‌ی تحقیقاتی دیگر نیز در این لیست قرار دارند.

مایکروسافت از محققان انتظار دارد که به دنبال باگ‌های به‌خصوصی باشند:

اسکریپت‌های بین سایتی یا Cross Site Scripting ا(XSS)
جعل درخواست‌ها بین سایت‌ها یا Cross Site Request Forgery ا(CSRF)
دست‌کاری بدون اجازه‌ی اطلاعات در سرویس‌های چندکاربره
منابع ناامن برای دسترسی به اشیاء
آسیب‌پذیری تأیید هویت
آسیب‌پذیری تزریق بدافزار
اجرای کد در سمت سرور
افزایش سطح دسترسی
پیکربندی اشتباه در سطوح امنیتی (که بدون دخالت کاربر ایجاد شده باشند)
اگرچه ۳۰ هزار دلار جایزه‌ای باارزش است؛ اما محققان می‌توانند با فروش اطلاعات باگ‌ها در دارک وب، درآمد بسیار بیشتری کسب کنند. طبق گزارش‌های منتشرشده، محققان می‌توانند باگ‌ها را در روز عرضه‌ی سرویس تا ۲۰۰ هزار دلار به فروش برسانند. علاوه بر این، آن‌ها می‌توانند باگ‌ها را توسعه بدهند و به‌عنوان بخشی از یک پلتفرم بدافزاری به قیمت‌ بسیار بیشتر بفروشند. البته تمامی این اقدامات کاملا غیرقانونی هستند و مجازات‌های سنگینی در پی دارند.