A Microsoft parece ter vencido o Google na frente de recompensas por bugs, com US$ 13,7 milhões em recompensas distribuídas por 335 pesquisadores.
O Google, em comparação, concedeu US$ 8,7 milhões em 2021; uma figura que descreveu como “recordista”. Os números da Microsoft vão de 1º de julho de 2021 a 30 de junho de 2022. Com seu pacote de produtividade Office e sistemas operacionais Windows, a Microsoft tem uma superfície de ataque impressionante com todo tipo de código legado através do qual os invasores podem abrir buracos.
O maior prêmio concedido pela Microsoft foi de US$ 200.000 no Programa de Recompensas Hyper-V e o prêmio médio foi de US$ 12.000.
Se você está sofrendo de um pouco de déjà vu, nós entendemos. O valor é exatamente o mesmo que o revelado em 2020 (mais do que o triplo dos US$ 4,4 milhões concedidos durante o mesmo período do ano anterior). O Register entrou em contato com a Microsoft para verificar se não houve nenhuma confusão embaraçosa no departamento de copiar e colar e atualizará caso a gigante do software responda.
Dois anos depois, há uma pequena queda nos relatórios de vulnerabilidade elegíveis e um aumento igualmente pequeno no número de pesquisadores premiados.
A Microsoft fez algumas mudanças este ano, pagando até US$ 26.000 a mais por ” bugs de alto impacto” apareceram em sua linha de produtos Office 365. Outros prêmios foram aumentados em até 30%.
Conversamos com o chefe de recompensas de bugs do Google no início desta semana, que descreveu simplesmente encontrar e corrigir vulnerabilidades como “totalmente inúteis” – a recompensa real foi o que a empresa poderia aprender com as façanhas e o trabalho dos pesquisadores, que muitas vezes são motivados mais pela curiosidade do que pela recompensa financeira (embora esta última certamente não prejudique).
Embora os programas de recompensa de bugs, sem dúvida, encorajem a divulgação responsável de vulnerabilidades, eles também têm seus críticos.
Microsoft Bug bounty: “você gostaria de vender seu bug para o governo por US$ 1 milhão ou entregá-lo à Microsoft por menos que o salário mínimo”
Web3 Bug bounty: “você gostaria de relatar o bug em troca do conteúdo desta caixa misteriosa ou roubar literalmente todo o dinheiro que temos”
