Microsoft je obviněn ze snížení odměn za chyby až o 90 %, říkají bezpečnostní výzkumníci

Podle obvinění několika bezpečnostních výzkumníků Microsoft údajně výrazně snižuje peněžní odměnu za bug bounty. Redmondský gigant zřejmě některým zkrátil odměny desetinásobně, tedy 90 %.

Například v loňském roce Marcus Hutchins (aka MalwareTech na Twitteru) řekl, že odměna za chybu za jeden z jeho zero-day závěrů byla snížena na 1 000 USD, z dřívějších 10 000 USD.

V rámci nového programu odměny za chyby od společnosti Microsoft se jeden z mých nultých dnů zvýšil z 10 000 $ na 1 000 $.

Někteří další také sdílejí podobné pocity. Například výzkumník Hyper-V a uživatel Twitteru @ rthhh17 nedávno uvedl, že program odměn společnosti Microsoft odhaduje zranitelnost Hyper-V Remote Code Execution (RCE) na pouhých 5 000 USD. Podle jeho tweetu byla odměna v procesu výzkumu snížena z možná mnohem větší částky. K tomu se ještě vrátíme na konci článku.

BUĎ OPATRNÝ! Společnost Microsoft vaši odměnu kdykoli sníží! Toto je zranitelnost Hyper-V RCE, kterou lze aktivovat z hostujícího počítače, ale má nárok na odměnu 5 000 $ z programu odměn Windows Insider Preview Rewards. Nespravedlivé!

A konečně posledním příkladem je bezpečnostní výzkumník Windows Abdelhamid Naseri, který údajně řekl BleepingComputer, že z naprosté frustrace veřejně odhalil novou zero-day chybu .

Když se BleepingComputer zeptal Naseriho, proč veřejně odhalil zranitelnost zero-day, bylo nám řečeno, že tak učinil z frustrace z klesajícího programu výplat odměn společnosti Microsoft.

„Odměna společnosti Microsoft byla zrušena od dubna 2020, opravdu bych to neudělal, kdyby se MSFT nerozhodla snížit tyto prémie,“ vysvětlil Naseri.

Microsoft uvádí následující vyznamenání (klikněte na obrázky níže pro zvětšení) na svém Microsoft Bug Bounty stránce :

Microsoft Bug Bounty Awards Microsoft Bug Bounty Awards Microsoft Bug Bounty Awards

Zajímavé je, že zatímco výzkumník Hyper-V @rthhh tvrdí, že jeho objevení zranitelnosti RCE bylo považováno za hodné odměny 5 000 USD, webová stránka společnosti Microsoft uvádí, že takový záznam je hoden odměny „až 250 000 USD“ ( obrázek uprostřed výše ). Viděno z pohledu výzkumníka by to v nejhorším případě znamenalo 80% snížení odměn.

přes BleepingComputer

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna.