Los precios de Microsoft Bug Bounty aumentan hasta en un 30 % para los investigadores de seguridad que descubren vulnerabilidades en el servicio de Office 365 y Microsoft Account.
“A través de estos nuevos premios de recompensas basados en escenarios, alentamos a los investigadores a centrar su investigación en las vulnerabilidades que tienen el mayor impacto potencial en la privacidad y seguridad del cliente”, reveló un anuncio del Centro de respuesta de seguridad de Microsoft (MSRC).
¿Cuáles son los precios de Microsoft Bug Bounty?
Los premios aumentan hasta en un 30 % para las presentaciones de escenarios elegibles y pueden llegar a $26 000 por vulnerabilidad informada. Microsoft señaló que las fallas que no se consideran de “alta prioridad” aún son elegibles para recompensas bajo el programa de Premios Generales.
“Si una vulnerabilidad reportada no califica para una recompensa en los escenarios de alto impacto, puede ser elegible para una recompensa en las recompensas generales”, dice la compañía. Aún son posibles premios más altos, aunque a discreción de Microsoft, en función de la gravedad y el impacto de la vulnerabilidad y la calidad de la presentación.
Aumentos de premios
- Ejecución remota de código a través de una entrada no confiable (CWE-94 “Control inadecuado de generación de código (‘Inyección de código’)”) en un 30,00 %
- Ejecución remota de código a través de entrada no confiable (CWE-502 “Deserialización de datos no confiables”) en un 30,00 %
- Fuga no autorizada de datos confidenciales entre inquilinos y entre identidades1 (CWE-200 “Exposición de información confidencial a un actor no autorizado”) en un 20,00 %
- Fuga no autorizada de datos confidenciales de identidades cruzadas (CWE-488 “Exposición del elemento de datos a una sesión incorrecta”) en un 20,00 %
- Vulnerabilidades de “agente confundido” que se pueden usar en un ataque práctico que accede a los recursos de una manera que elude la autenticación (CWE-918 “Falsificación de solicitud del lado del servidor (SSRF)”) en un 15,00%
En una nota completamente ajena: ¡todavía puede ganar dinero con Microsoft incluso si no es un investigador de seguridad!
Microsoft también anunció que ha ampliado sus programas de recompensas por errores para incluir Exchange, SharePoint y Skype for Business. Los investigadores de seguridad ahora pueden descubrir e informar fallas en los servidores de Exchange y SharePoint para ganar recompensas que van desde $ 500 a $ 26,000. Según los multiplicadores de gravedad (entre 15 y 30 %), los cazarrecompensas pueden recibir mayores pagos por vulnerabilidades.
La página del programa Bounty de M365 brinda más información sobre los montos de las recompensas, las situaciones de alto impacto y la nueva lista de dominios incluidos.
