A Microsoft expandiu seu programa de recompensas por bugs do .NET e aumentou as recompensas para US$ 40.000 para algumas vulnerabilidades do .NET e do ASP.NET Core.
Madeline Eckert, gerente sênior de programas de Incentivos e Recompensas para Pesquisadores da Microsoft, afirmou que essas mudanças visam refletir com mais precisão a complexidade envolvida na descoberta e exploração de vulnerabilidades do .NET.
“Estamos entusiasmados em anunciar atualizações significativas para o Microsoft .NET Bounty Program. Essas mudanças expandem o escopo do programa, simplificam a estrutura do prêmio e oferecem grandes incentivos para pesquisadores de segurança”, dito Eckert.
“O Programa de Recompensas do .NET agora oferece prêmios de até US$ 40.000 para vulnerabilidades que afetam o .NET e o ASP.NET Core (incluindo Blazor e Aspire).”
A partir de hoje, a Microsoft pagará até US$ 40.000 por execução remota crítica de código e falhas de segurança de escalonamento de privilégios, bem como US$ 30.000 por desvios de recursos críticos de segurança e até US$ 20.000 por bugs críticos de negação de serviço remoto.
O programa de recompensas por bugs do .NET também foi expandido para cobrir melhor as vulnerabilidades do .NET Framework e agora inclui:
- Todas as versões suportadas do .NET e ASP.NET,
- Tecnologias adjacentes, como F#,
- Versões com suporte do ASP.NET Core para .NET Framework,
- Modelos fornecidos com versões com suporte do .NET e do ASP.NET Core,
- GitHub Actions nos repositórios do .NET e do ASP.NET Core.
No início deste ano, a Microsoft Prêmios de recompensa levantados a US$ 30.000 para vulnerabilidades de IA encontradas nos serviços e produtos do Power Platform e do Dynamics 365.
Em fevereiro, anunciou aumento de pagamentos para falhas de segurança do Microsoft Copilot (AI) de gravidade moderada e um multiplicador de prêmio de 100% para todos os prêmios de recompensa do Copilot para incentivar a pesquisa de IA.
Durante a conferência anual Ignite do ano passado, a Microsoft também lançou a Zero Day Quest, um evento de hackers com foco em produtos e plataformas de nuvem e IA e que oferece US$ 4 milhões em recompensas.
Esses esforços fazem parte do Iniciativa Futuro Seguro (SFI), um plano de engenharia de cibersegurança a nível da empresa lançado em novembro de 2023, na sequência de um relatório contundente emitido pelo Conselho de Revisão da Segurança Cibernética do Departamento de Segurança Interna, que Afirmou que a “cultura de segurança da Microsoft era inadequada e requer uma revisão”.
