News Microsoft zapłaci nawet 100 tysięcy dolarów za zgłoszenie dziury w Windows

Ostatnia konferencja Black Hat, jaka miała miejsce w Stanach Zjednoczonych to nie tylko nieco ostrzeżeń dla użytkowników iOS, ale także dobre informacje z Microsoftu: firma postanowiła zwiększyć kwoty wynagrodzeń wypłacanych w ramach programu Bug Bounty i zgłaszanie błędów bezpieczeństwa w jej oprogramowaniu. Zdolni programiści mogą zarobić naprawdę sporo.

Podobnie do innych firm, także Microsoft prowadzi kilka programów, w ramach których wynagradza tzw. białe kapelusze, czyli hakerów działających legalnie i zgłaszających znalezione błędy. Zyskują na tym w zasadzie wszyscy: korporacja, bo ktoś inny pomaga w wyszukiwaniu błędów w jej oprogramowaniu, klienci, którzy szybciej otrzymują poprawki bezpieczeństwa, a także odkrywcy, którzy zgarniają nagrody finansowe. Obecnie za zgłoszenie można otrzymać nawet 100 tysięcy dolarów, nie brakuje natomiast miejsc, które można badać.

Obecnie aktywne są trzy programy. Pierwszy to Online Services Bug Bounty, w którym Microsoft zbiera zgłoszenia dotyczące usług webowych i serwerowych tej firmy, jak choćby Office 365 i Microsoft Azure. Minimalna nagroda za zakwalifikowane zgłoszenie to 500 dolarów, maksymalna 15 tysięcy dolarów. Drugi program o nazwie Mitigation Bypass Bounty dotyczy możliwości omijania mechanizmów zabezpieczających dostępnych w systemie (np. DEP, ASLR, SEHOP). Tutaj śmiałek można już otrzymać aż 100 tysięcy dolarów. Podobne kwoty są wypłacane w ramach programu Bounty for Defense, który również jest związany z wbudowanymi w system zabezpieczeniami. Do niedawna maksymalna kwota wynagrodzenia wynosiła 50 tysięcy dolarów.

Warto dodać, że 22 lipca zakończony został program zgłaszania luk bezpieczeństwa w przeglądarce Microsoft Edge – firma prowadziła go tylko przez trzy miesiące i wypłacała maksymalnie 15 tysięcy dolarów za znalezienie krytycznych i istotnych podatności. Dlaczego zdecydowano się na zrezygnowanie z tego programu, tego dokładnie nie wiadomo. Konkurencja w postaci Google, czy nawet znaczniej mniej zasobnej w finanse Mozilli wciąż oferuje wynagrodzenia i tym samym może znacznie szybciej łatać swoje oprogramowanie.