Microsoft vil uddele penge til brugere: Det skal du gøre

Tidligere handlede belønninger ofte om bestemte produkter og afgrænsede områder.

Nu peger Microsoft på, at moderne angreb bevæger sig på tværs af tjenester, afhængigheder og leverandører, og den logik vil virksomheden også bruge, når den vurderer indsendte sårbarheder.

Tom Gallagher fra Microsoft Security Response Center lægger linjen klart:

– Trusselsaktører er ligeglade med, hvem der ejer koden, de prøver at udnytte.

Når effekten rammer Microsoft, kan der være penge i det

Microsoft kalder ændringen “In Scope by Default”, og ifølge CSO Online bliver enhver kritisk sårbarhed med dokumenterbar effekt på Microsofts onlinetjenester nu relevant for en belønning, uanset om fejlen ligger i Microsofts egen kode, i tredjepart eller i open source.

Gallagher har samtidig gjort opmærksom på, at Microsoft sidste år udbetalte mere end 17 millioner dollar gennem bug bounty og live-hacking, hvilket svarer til omkring 108 millioner kroner.

Beløbet dækker fejl, som reelt gør en forskel for sikkerheden i Microsofts tjenester.

Udvidelsen placerer også Microsoft et stykke foran Google målt på udbetalinger. Google udbetalte cirka 11,8 millioner dollar, hvilket lander omkring 75 millioner kroner.

Sådan gør du, hvis du vil prøve kræfter med belønningerne

Vil du være med, handler det ikke om at sende løse idéer. Det handler om at dokumentere en kritisk sårbarhed, vise en tydelig påvirkning af Microsofts onlinetjenester og sende materialet ind via koordiner

Microsofts regler sætter også en tydelig ramme. Du må bruge dine egne legitimationsoplysninger, og du skal holde dig fra phishing, overbelastningstest og alt, der skaber unødigt trafikpres på tjenesterne.

Samtidig kan en bredere adgang give mere støj, og rådgiveren Erik Avakian advarer om, at modellen kan give problemer, hvis mængden løber løbsk:

– Men det kan virke, hvis disciplinen omkring alvorlighed er klippestærk.