Программа вознаграждений Microsoft теперь включает в себя вознаграждение за любой недостаток в работе сервисов
Теперь Microsoft платит исследователям в области безопасности за обнаружение критических уязвимостей в любых своих онлайн-сервисах, независимо от того, был ли код написан Microsoft или сторонней компанией.
Об изменении политики было объявлено в среду на конференции Black Hat Europe Томом Галлахером, вице-президентом по разработке в Центре реагирования на угрозы безопасности Microsoft.
Как Галлахер объяснил, злоумышленники не делают различий между кодом Microsoft и сторонними компонентами при использовании уязвимостей. В связи с этим компания расширила свою программу вознаграждения за обнаружение ошибок, включив в неё по умолчанию все онлайн-сервисы Microsoft, а также все новые сервисы, как только они будут выпущены.
Теперь программа также выявляет уязвимости в сторонних зависимостях, в том числе в коммерческих компонентах или компонентах с открытым исходным кодом, если они влияют на работу онлайн-сервисов Microsoft.
«С сегодняшнего дня, если критическая уязвимость напрямую и очевидно влияет на работу наших онлайн-сервисов, она может претендовать на вознаграждение. Независимо от того, принадлежит ли код Microsoft, сторонней компании или имеет открытый исходный код, мы сделаем всё возможное, чтобы устранить проблему», — сказал Галлахер.
«Наша цель — стимулировать исследования в областях с самым высоким уровнем риска, особенно в тех, которые с наибольшей вероятностью будут использованы злоумышленниками. Там, где нет программ вознаграждения, мы будем признавать и поощрять различные идеи сообщества исследователей в области безопасности, независимо от того, в какой сфере они специализируются».
За последние 12 месяцев Microsoft выплатила более 17 миллионов долларов в качестве вознаграждения 344 исследователям в области безопасности, а за предыдущий год — ещё 16,6 миллиона долларов 343 исследователям в области безопасности.
Сегодняшнее объявление является частью более масштабной инициативы Microsoft по обеспечению безопасности в будущем, направленной на повышение приоритета безопасности во всех сферах деятельности компании.
В рамках той же инициативы Microsoft также отключила все элементы управления ActiveX в версиях приложений Microsoft 365 и Office 2024 для Windows и обновила настройки безопасности Microsoft 365, чтобы заблокировать доступ к файлам SharePoint, OneDrive и Office по устаревшим протоколам аутентификации.
Совсем недавно компания начала внедрять новую функцию Teams для блокировки попыток сделать снимок экрана во время совещаний и объявила о планах защитить вход в систему с помощью Entra ID от атак с внедрением скриптов.
Редактор: AndreyEx
