A Microsoft anunciou que, na última década, procedeu ao pagamento de 63 milhões de dólares em recompensas aos investigadores de segurança que participam nos seus programas de recompensa por bugs.
Os primeiros programas de recompensas por bugs foram lançados pela Big Tech em 2013, quando aceitava relatos de técnicas de exploração no Windows 8.1 e falhas na versão prévia do Internet Explorer 11.
Inicialmente, a empresa recebia anualmente menos de cem relatórios, realizados por poucas dezenas de investigadores participantes. Na altura, a Microsoft pagava algumas centenas de dólares em recompensas por ano.
Atualmente, a Microsoft tem 17 programas de recompensa de bugs que abrangem Azure, Edge, Microsoft 365, Windows, Xbox e muito mais. As recompensas vão até 250 mil dólares, um valor oferecido para bugs de alto impacto no hipervisor Hyper-V.
Milhares de investigadores de segurança, provenientes de 70 países, estão a ser recompensados pela descoberta e report de bugs, de acordo com a empresa. Participam também nestes programas estudantes, académicos e profissionais de cibersegurança a tempo integral.
Do total de 63 milhões de dólares distribuídos desde 2013, 60 milhões foram pagos nos últimos cinco anos, revela a Microsoft. A partir de 2020, a empresa tem distribuído mais de 13 milhões de dólares por ano para cerca de 300 investigadores.
“Os dados dos programas são uma parte crítica para equipar as equipas de produtos e segurança em toda a empresa para fornecer melhorias e mitigações de segurança mais amplas, além de correções pontuais de bugs”, afirma a Microsoft.
Desde 2013, a Microsoft já alterou diversas vezes as suas políticas de recompensas por bugs, de forma a oferecer pagamentos mesmo para bugs que já haviam sido descobertos internamente e para clarificar para os investigadores quais são os reports de vulnerabilidades elegíveis.
“Hoje, incentivos e parcerias estão incluídos no programa de divulgação de vulnerabilidades da nossa empresa”, acrescenta. “Cada relatório que é tirado, avaliado e corrigido é revisto quanto à potencial elegibilidade para recompensas. Não há necessidade de registo, não há necessidade de inscrição, todos estão convidados”.
