A Microsoft parece ter derrotado o Google em relação ao pagamento de recompensas por bugs, com US$ 13,7 milhões distribuídos por 335 pesquisadores.
O Google, em comparação, concedeu US$ 8,7 milhões em 2021; uma figura que descreveu como “quebra de recorde”. Os números da Microsoft vão de 1º de julho de 2021 a 30 de junho de 2022. Com seu pacote de produtividade Office e sistemas operacionais Windows, a Microsoft tem uma superfície de ataque impressionante com todo tipo de código legado através do qual os invasores podem abrir buracos.
Os programas Microsoft Bug Bounty e as parcerias com a comunidade global de pesquisa de segurança são partes importantes da abordagem holística da Microsoft para defender os clientes contra ameaças à segurança. Nossos programas de recompensas incentivam a pesquisa de segurança em áreas de alto impacto para ficar à frente dos cenários de segurança em constante mudança, tecnologia emergente e novas ameaças. Os pesquisadores de segurança nos ajudam a proteger milhões de clientes descobrindo e relatando vulnerabilidades à Microsoft por meio da divulgação coordenada de vulnerabilidades.
O maior prêmio concedido pela Microsoft foi de US$ 200.000 no Programa de Recompensas Hyper-V e o prêmio médio foi de US$ 12.000.
O valor é exatamente o mesmo revelado em 2020 (mais do que o triplo dos US$ 4,4 milhões concedidos no mesmo período do ano anterior). Ainda não há confirmação se houve algum erro em contato com a Microsoft para verificar se não houve gritos embaraçosos no departamento de copiar e colar e atualizará se a gigante do software responder.
Microsoft supera o Google para pagamentos de recompensas por bugs entre 2021-22
Dois anos depois, há uma ligeira queda nos relatórios de vulnerabilidade elegíveis e um aumento igualmente pequeno no número de pesquisadores premiados.
A Microsoft fez algumas mudanças este ano, pagando até US$ 26.000 a mais por bugs de “alto impacto” que apareceram em sua linha de produtos Office 365. Outros prêmios foram aumentados em até 30%.
Conversamos com o chefe de recompensas de bugs do Google no início desta semana, que descreveu simplesmente encontrar e corrigir vulnerabilidades como “totalmente inúteis” – a recompensa real foi o que a empresa poderia aprender com as explorações e o trabalho dos pesquisadores, que geralmente são motivados mais pela curiosidade do que recompensa financeira (embora o último certamente não prejudique).
Embora os programas de recompensas de bugs, sem dúvida, encorajem a divulgação responsável de vulnerabilidades, eles também têm seus críticos.
A Microsoft continuou a mexer em seu programa de recompensas de bugs, com a adição de cenários de ataque no Azure, Dynamics 365 e sua Power Platform.