Microsoft heeft nu al een paar jaar een beloningsprogramma waarbij het mensen die bugs en exploits vinden een geldbedrag uitkeert. Toen het programma gelanceerd werd, betaalde het bedrijf tot 50.000 dollar en nu wordt dat bedrag verhoogd en het programma uitgebreid.
Microsoft gaat onder het Windows Bounty Program nu maximaal 250.000 dollar uitkeren aan een persoon die als eerste een exploit weet te vinden in Microsoft Hyper-V. Deze hypervisor die wordt gebruikt voor virtualisatiedoeleinden is ook meteen de software die Microsoft het veiligst wil houden. Overigens is een belangrijke kanttekening dat het hierbij enkel gaat om de Hyper-V software in de Slow Ring van de Windows Insider Preview. In andere Rings zou het waarschijnlijk iets te makkelijk geld verdienen zijn, omdat daar nu eenmaal meer bugs en dergelijke in zitten. Die versies zijn minder ver ‘af’ dan die in de Slow Ring.
De laagst mogelijke beloning die Microsoft uitkeert voor het vinden van een bug of exploit, bedraagt 500 dollar. Die wordt uitgekeerd voor “any critical or important class remote code execution, elevation of privilege, or design flaws that compromises a customer’s privacy and security.” Punten waar Microsoft graag de focus op legt, zijn Mitigation Bypass, Bounty for Defense, Windows Defender Application Guard en Microsoft Edge.
Kleine lettertjes zijn er ook, maar in het geval van Microsoft zijn ze relatief gunstig. Als een Microsoft-medewerker een bug of exploit eerder gevonden heeft dan iemand van buiten het bedrijf, wordt er wel een bedrag uitgekeerd aan die persoon van buitenaf. Het gaat echter om 10 procent van het maximaal uit te keren bedrag. Zo bezien ligt de limiet nog op 25.000 dollar. Dat is een aantrekkelijkere voorwaarde dan andere bedrijven hanteren. Apple, Facebook en Google betalen namelijk niets voor gevonden bugs en exploits die intern al opgespoord waren.
Mocht je nu aan de slag willen gaan, klik dan op deze link om te zien waar Microsoft allemaal interesse in heeft en hoeveel het uitbetaalt voor gevonden problemen.
12 uur geleden
