×
Outbyte PC Repair
Outbyte Driver Updater

Microsoft accusata di ridurre i premi per gli errori fino al 90%, affermano i ricercatori della sicurezza

2021/11/24
Microsoft accusata di ridurre i premi per gli errori fino al 90%, affermano i ricercatori della sicurezza
Secondo le accuse di diversi ricercatori sulla sicurezza, Microsoft starebbe riducendo in modo significativo la ricompensa in denaro per la taglia del bug. Il gigante di Redmond ha apparentemente decuplicato i premi per alcuni di loro, ovvero il 90%.

Ad esempio, l’anno scorso Marcus Hutchins (alias MalwareTech su Twitter) ha affermato che la ricompensa per l’errore per una delle sue conclusioni zero-day è stata ridotta a $ 1.000, rispetto ai $ 10.000 precedenti.

Sotto il nuovo programma bug bounty di Microsoft, uno dei miei zero giorni è passato da $ 10.000 a $ 1.000.

Alcuni altri condividono anche sentimenti simili. Ad esempio, il ricercatore Hyper-V e utente Twitter @ rthhh17 ha recentemente affermato che il programma di ricompensa di Microsoft stima che la sua vulnerabilità Hyper-V Remote Code Execution (RCE) sia di soli $ 5.000. Secondo il suo tweet, la taglia è stata ridotta da una quantità forse molto maggiore nel processo di ricerca. Torneremo su questo alla fine dell’articolo.

STAI ATTENTO! Microsoft ridurrà la tua ricompensa in qualsiasi momento! Questa è una vulnerabilità Hyper-V RCE che può essere attivata da una macchina guest, ma è idonea per una ricompensa di $ 5.000 dal programma Windows Insider Preview Rewards. Sleale!

E infine, l’esempio più recente è il ricercatore sulla sicurezza di Windows Abdelhamid Naseri, che secondo quanto riferito ha detto a BleepingComputer di aver rivelato pubblicamente un nuovo bug zero-day per completa frustrazione.

Quando BleepingComputer ha chiesto a Naseri perché avesse rivelato pubblicamente la vulnerabilità zero-day, ci è stato detto che lo ha fatto per la frustrazione con il programma di pagamento delle taglie in declino di Microsoft.

“La taglia di Microsoft è stata annullata dall’aprile 2020, non l’avrei fatto davvero se MSFT non avesse deciso di abbassare quei premi”, ha spiegato Naseri.

Microsoft elenca i seguenti premi (fare clic sulle immagini sottostanti per ingrandirle) nella sua pagina Microsoft Bug Bounty:

Premi Microsoft Bug Bounty Premi Microsoft Bug Bounty Premi Microsoft Bug Bounty

È interessante notare che mentre il ricercatore di Hyper-V @rthhh afferma che la sua scoperta di una vulnerabilità RCE è stata ritenuta degna di una ricompensa di $ 5.000, il sito Web di Microsoft afferma che tale voce è degna di una ricompensa “fino a $ 250.000” (immagine al centro sopra ). Visto dal punto di vista di un ricercatore, ciò significherebbe una diminuzione dell’80% delle ricompense nel peggiore dei casi.

tramite BleepingComputer

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *