Microsoft wydał w ubiegłym roku grube miliony na programy bug bounty
Nie jest żadną tajemnicą, że ogromne koncerny technologiczne wydają duże pieniądze na programy zgłaszania błędów bezpieczeństwa, ale teraz poznaliśmy dokładne wydatki jednego z nich.
Jak się właśnie dowiadujemy, w ciągu ostatnich 12 miesięcy Microsoft wydał na programy bug bounty dokładnie 13,6 mln dolarów, nagradzając łącznie 341 specjalistów do spraw cyberbezpieczeństwa z blisko 60 krajów. Co ciekawe, chociaż kwota jest imponująca, to mamy do czynienia z niewielkim spadkiem w stosunku do roku poprzedzającego, chociaż gigant z Redmond dołożył dwa nowe programy do swojej listy. Czyżby oznaczało to, że oprogramowanie Microsoftu jest coraz mniej dziurawe i coraz bezpieczniejsze? Bardzo chcielibyśmy w to wierzyć, szczególnie że od zachowania koncernów technologicznych w tym zakresie zależy w dużej mierze nasze bezpieczeństwo w sieci.
Microsoft poinformował, że średnia kwota nagrody we wszystkich jego programach wynosiła ponad 10 tysięcy dolarów, a najwyższa wypłacona nagroda to 200 tysięcy dolarów w programie Hyper-V Bounty Program, który dotyczy trzech konkretnych typów podatności, tj. zdalna egzekucja kodu, wyciek wrażliwych danych i blokada usług. Na stronie programu można znaleźć informację, że maksymalna nagroda wynosi tu 250 tysięcy dolarów, więc w ubiegłym roku nikt jej nie zdobył, ale nie da się ukryć, że 200 tysięcy dolarów również robi wrażenie. Jeżeli zaś chodzi o wykryte podatności, to firma poinformowała, że ze wszystkich 17 programów otrzymała 1261 trafnych raportów dotyczących podatności.
I choć jak wspominaliśmy wcześniej, 13,6 mln USD to spadek w stosunku do roku poprzedzającego, to w gruncie rzeczy różnica wynosi dosłownie 100 tysięcy dolarów, bo poprzednio 13,7 mln USD trafiło w ręce 327 badaczy na podstawie 1226 zatwierdzonych zgłoszeń - nawet najwyższa nagroda była identyczna i wynosiła 200 tysięcy dolarów. Niemniej w tym roku badacze mogli wziąć udział w dwóch dodatkowych programach, tj. Microsoft Applications Bounty Program (Teams Desktop), który wystartował w marcu tego roku oraz SIKE Cryptographic Challenge, które jest najświeższe i obowiązuje dosłownie od ubiegłego miesiąca.
Źródło: GeekWeek.pl/Microsoft
