Microsoft supera o Google para pagamentos de recompensas por bugs entre 2021-22

Outros US $ 13,7 milhões entregues aos pesquisadores, mas, novamente, tem uma enorme quantidade de superfícies de ataque.

Claylson Martins
3 minutos de leitura

A Microsoft parece ter derrotado o Google em relação ao pagamento de recompensas por bugs, com US$ 13,7 milhões distribuídos por 335 pesquisadores.

O Google, em comparação, concedeu US$ 8,7 milhões em 2021; uma figura que descreveu como “quebra de recorde”. Os números da Microsoft vão de 1º de julho de 2021 a 30 de junho de 2022. Com seu pacote de produtividade Office e sistemas operacionais Windows, a Microsoft tem uma superfície de ataque impressionante com todo tipo de código legado através do qual os invasores podem abrir buracos.

Os programas Microsoft Bug Bounty e as parcerias com a comunidade global de pesquisa de segurança são partes importantes da abordagem holística da Microsoft para defender os clientes contra ameaças à segurança. Nossos programas de recompensas incentivam a pesquisa de segurança em áreas de alto impacto para ficar à frente dos cenários de segurança em constante mudança, tecnologia emergente e novas ameaças. Os pesquisadores de segurança nos ajudam a proteger milhões de clientes descobrindo e relatando vulnerabilidades à Microsoft por meio da divulgação coordenada de vulnerabilidades.

O maior prêmio concedido pela Microsoft foi de US$ 200.000 no Programa de Recompensas Hyper-V e o prêmio médio foi de US$ 12.000.

O valor é exatamente o mesmo revelado em 2020 (mais do que o triplo dos US$ 4,4 milhões concedidos no mesmo período do ano anterior). Ainda não há confirmação se houve algum erro em contato com a Microsoft para verificar se não houve gritos embaraçosos no departamento de copiar e colar e atualizará se a gigante do software responder.

Microsoft supera o Google para pagamentos de recompensas por bugs entre 2021-22

Dois anos depois, há uma ligeira queda nos relatórios de vulnerabilidade elegíveis e um aumento igualmente pequeno no número de pesquisadores premiados.

A Microsoft fez algumas mudanças este ano, pagando até US$ 26.000 a mais por bugs de “alto impacto” que apareceram em sua linha de produtos Office 365. Outros prêmios foram aumentados em até 30%.

Conversamos com o chefe de recompensas de bugs do Google no início desta semana, que descreveu simplesmente encontrar e corrigir vulnerabilidades como “totalmente inúteis” – a recompensa real foi o que a empresa poderia aprender com as explorações e o trabalho dos pesquisadores, que geralmente são motivados mais pela curiosidade do que recompensa financeira (embora o último certamente não prejudique).

Embora os programas de recompensas de bugs, sem dúvida, encorajem a divulgação responsável de vulnerabilidades, eles também têm seus críticos.

A Microsoft continuou a mexer em seu programa de recompensas de bugs, com a adição de cenários de ataque no Azure, Dynamics 365 e sua Power Platform.

Share This Article
Follow:
Jornalista com pós graduações em Economia, Jornalismo Digital e Radiodifusão. Nas horas não muito vagas, professor, fotógrafo, apaixonado por rádio e natureza.