Microsoft е изплатила общо 13,7 милиона долара (13,3 милиона евро) награди за добронамерено откриване и докладване на грешки през последните 12 месеца. 330 изследователи от 46 страни са получили признание за помощта при откриването и докладването на общо 1091 уязвимости в продуктите на корпорацията в рамките на 17 различни под-програми за награди за докладване на грешки.
Уязвимостите в продуктите на Microsoft са особено ценни за злонамерените играчи поради повсеместното използване на продуктите на фирмата в модерните предприятия. Microsoft често се сблъсква с атаки, възползващи се от бъгове в едни или други продукти, а месената инициатива „Вторник за пачове“ е задължително събитие за специалистите по сигурността.
Въз основа на това наградите за докладване на бъгове, изплащани от Microsoft, обичайно са по-високи. Средното заплащане, направено чрез нейната програма, достига 12 000 долара, значително над общата средна стойност от $3000 долара, както се съобщава от специалиста по награди за докладване на бъгове HackerOne.
Най-голямото плащане, направено от Microsoft през изминалата година, е на стойност 200 000 долара. То касае програмата Hyper-V, но компанията не разкрива за каква уязвимост е ставало дума.
Географската разбивка на Microsoft показва, че по-голямата част от етичните хакери, работещи по нейните програми, се намират в Китай, Индия и САЩ, следвани от Австралия, Канада, Германия и Обединеното кралство.
„Ние вярваме, че партньорствата с глобалната общност за изследване на сигурността са съществена част от защитата на клиентите и ще продължим да инвестираме и да развиваме нашите програми за възнаграждаване на докладването на грешки като част от укрепването на тези партньорства. Благодарим на всички изследователи, които споделиха своите изследвания с Microsoft тази година, за да помогнат за осигуряването на милиони клиенти на Microsoft“, заявиха Лин Мияшита и Мадлин Екерт от Microsoft.
През миналата година Microsoft се съсредоточи върху развитието на своите програми и партньорства с глобалната общност в отговор на променящия се пейзаж при заплахите, добавиха експертите на фирмата. С особена сила това се отнася до облачните продукти и услуги на фирмата. „Ключов елемент от този процес на съзряване е изслушването на обратната връзка от специалистите, за да се премахнат бариерите за навлизане и да се улеснят по-добре изследователските усилия“.
Според изявлението, тази година редмънтският софтуерен гигант е въвел в много от своите програми „изследователско предизвикателство“ и нови сценарии за атакуване, така че да награждава изследванията, фокусирани върху най-критичните области за сигурността на клиентите.
„Добавянето на тези сценарии за атака към нашите програми за награди за Azure, Dynamics 365 и Power Platform и M365 помага изследванията да се съсредоточат върху облачните уязвимости с най-голямо въздействие, включително области като Azure Synapse Analytics, Key Vault и Azure Kubernetes Services“, поясняват от компанията