مایکروسافت به مدت سه ماه، جایزهای ۳۰ هزار دلاری برای محققان باگ در سرویسهایش در نظر گرفته است.
در چند هفتهی گذشته، گوگل با انتشار جزئیاتی از باگهای امنیتی ویندوز ۱۰، مایکروسافت را با مشکلات بزرگی روبهرو کرده است.
مایکروسافت برای پاسخ به این چالش، جایزهی پیدا کردن باگ یا Bug Bounty خود را دو برابر کرده و آن را به ۳۰ هزار دلار رسانده است. این جایزه در مدت محدود سهماهه از ابتدای ماه مارس تا پایان ماه می در نظر گرفته شده است و به محققان امنیتی که بتوانند باگهای مشخصی در سرویسهای مایکروسافت پیدا کنند، اهدا خواهد شد.
البته اگر این شرکت برای یافتن باگها از محققان استخدامشده استفاده کند، زمان تصمیمگیری و مقابله با آنها را در اختیار خواهد داشت و قبل از افشای عمومی میتواند باگها را برطرف کند. اما با انجام روند جدید، مایکروسافت تحت فشار بازهی زمانی سهماهه قرار خواهد داشت که محققان مستقل بهطور حتم پس از این زمان، باگها را بهصورت عمومی منتشر خواهند کرد.
برخی از سرویسهای مورد آزمایش در این طرح عبارتند از:
portal.office.com
outlook.office365.com
outlook.office.com
outlook.com
مجموع این دامینها به ۱۸ عدد میرسد و علاوه بر آنها، ۳۷ نقطهی تحقیقاتی دیگر نیز در این لیست قرار دارند.
مایکروسافت از محققان انتظار دارد که به دنبال باگهای بهخصوصی باشند:
اسکریپتهای بین سایتی یا Cross Site Scripting ا(XSS)
جعل درخواستها بین سایتها یا Cross Site Request Forgery ا(CSRF)
دستکاری بدون اجازهی اطلاعات در سرویسهای چندکاربره
منابع ناامن برای دسترسی به اشیاء
آسیبپذیری تأیید هویت
آسیبپذیری تزریق بدافزار
اجرای کد در سمت سرور
افزایش سطح دسترسی
پیکربندی اشتباه در سطوح امنیتی (که بدون دخالت کاربر ایجاد شده باشند)
اگرچه ۳۰ هزار دلار جایزهای باارزش است؛ اما محققان میتوانند با فروش اطلاعات باگها در دارک وب، درآمد بسیار بیشتری کسب کنند. طبق گزارشهای منتشرشده، محققان میتوانند باگها را در روز عرضهی سرویس تا ۲۰۰ هزار دلار به فروش برسانند. علاوه بر این، آنها میتوانند باگها را توسعه بدهند و بهعنوان بخشی از یک پلتفرم بدافزاری به قیمت بسیار بیشتر بفروشند. البته تمامی این اقدامات کاملا غیرقانونی هستند و مجازاتهای سنگینی در پی دارند.