Ad esempio, l’anno scorso Marcus Hutchins (alias MalwareTech su Twitter) ha affermato che la ricompensa per l’errore per una delle sue conclusioni zero-day è stata ridotta a $ 1.000, rispetto ai $ 10.000 precedenti.
Sotto il nuovo programma bug bounty di Microsoft, uno dei miei zero giorni è passato da $ 10.000 a $ 1.000.
Alcuni altri condividono anche sentimenti simili. Ad esempio, il ricercatore Hyper-V e utente Twitter @ rthhh17 ha recentemente affermato che il programma di ricompensa di Microsoft stima che la sua vulnerabilità Hyper-V Remote Code Execution (RCE) sia di soli $ 5.000. Secondo il suo tweet, la taglia è stata ridotta da una quantità forse molto maggiore nel processo di ricerca. Torneremo su questo alla fine dell’articolo.
STAI ATTENTO! Microsoft ridurrà la tua ricompensa in qualsiasi momento! Questa è una vulnerabilità Hyper-V RCE che può essere attivata da una macchina guest, ma è idonea per una ricompensa di $ 5.000 dal programma Windows Insider Preview Rewards. Sleale!
E infine, l’esempio più recente è il ricercatore sulla sicurezza di Windows Abdelhamid Naseri, che secondo quanto riferito ha detto a BleepingComputer di aver rivelato pubblicamente un nuovo bug zero-day per completa frustrazione.
Quando BleepingComputer ha chiesto a Naseri perché avesse rivelato pubblicamente la vulnerabilità zero-day, ci è stato detto che lo ha fatto per la frustrazione con il programma di pagamento delle taglie in declino di Microsoft.
“La taglia di Microsoft è stata annullata dall’aprile 2020, non l’avrei fatto davvero se MSFT non avesse deciso di abbassare quei premi”, ha spiegato Naseri.
Microsoft elenca i seguenti premi (fare clic sulle immagini sottostanti per ingrandirle) nella sua pagina Microsoft Bug Bounty:
È interessante notare che mentre il ricercatore di Hyper-V @rthhh afferma che la sua scoperta di una vulnerabilità RCE è stata ritenuta degna di una ricompensa di $ 5.000, il sito Web di Microsoft afferma che tale voce è degna di una ricompensa “fino a $ 250.000” (immagine al centro sopra ). Visto dal punto di vista di un ricercatore, ciò significherebbe una diminuzione dell’80% delle ricompense nel peggiore dei casi.
tramite BleepingComputer
Lascia un commento