Microsoft дале 13,7 милиони долари во награди за откриени „багови“

25

Microsoft платиле вкупно 13,7 милиони долари како награди за искрено откривање и известување за грешки во изминатите 12 месеци. 330 истражувачи од 46 земји добија признание за помагање да се откријат и пријават вкупно 1.091 ранливости во производите на корпорацијата во рамките на 17 различни потпрограми за надоместоци за известување за грешки.

Ранливостите во производите на Microsoft се особено вредни за злонамерните играчи поради распространетата употреба на производите на компанијата во современите претпријатија. Microsoft често се соочува со напади кои ги искористуваат „баговите“ во еден или друг производ, а локалната иницијатива Patch Tuesday е настан кој мора да го видат безбедносните професионалци.

Врз основа на ова, наградите за известување за грешки што ги плаќа Microsoft обично се повисоки. Просечната исплата направена преку нејзината програма достигна 12.000 долари, што е многу над вкупниот просек од 3.000 долари, како што е пријавено од специјалистот за награди за известување за грешки HackerOne.

Најголемата уплата што ја направи Microsoft во изминатата година изнесуваше 200.000 долари. Станува збор за програмата Hyper-V, но компанијата не откри за каква ранливост станува збор.

Географскиот расказ на Microsoft покажува дека поголемиот дел од етичките хакери кои работат на неговите програми се лоцирани во Кина, Индија и САД, а потоа следат Австралија, Канада, Германија и Велика Британија.

„Веруваме дека партнерствата со глобалната безбедносна истражувачка заедница се суштински дел од заштитата на клиентите и ќе продолжиме да инвестираме и да ги развиваме нашите програми за наградување за известување за грешки како дел од зајакнувањето на овие партнерства. Им благодариме на сите истражувачи кои го споделија своето истражување со Microsoft оваа година за да помогнат во обезбедувањето на милиони клиенти на Microsoft“, изјавија Лин Мијашита и Медлин Екерт од компанијата.

Минатата година, Microsoft се фокусираше на развивање на своите програми и партнерства со глобалната заедница како одговор на променливиот пејзаж на закани, додаваат експертите на фирмата. Ова особено се однесува на облачните производи и услугите на компанијата. „Клучен елемент на овој процес на созревање е слушањето на стручните повратни информации за да се отстранат бариерите за влез и подобро да се олеснат напорите за истражување“.

Според соопштението, оваа година софтверскиот гигант од Редмонд воведе „истражувачки предизвик“ и нови сценарија за напади на многу од своите програми за да го награди истражувањето фокусирано на најкритичните области за безбедноста на клиентите.

„Додавањето на овие сценарија за напади во нашите програми за награди за Azure, Dynamics 365 и Power Platform и M365 помага да се фокусира истражувањето на пропустите на облакот со најголемо влијание, вклучувајќи области како што се Azure Synapse Analytics, Key Vault и Azure Kubernetes Services“, објаснува компанијата.