Исследователи обвинили Microsoft в уменьшении сумм bug bounty

Пт 26 Ноябрь 2021 10:55

Целый ряд исследователей безопасности обвинили Microsoft в уменьшении сумм вознаграждения, которые компания выплачивает за сообщения об уязвимостях в рамках своей программы bug bounty. Судя по всему, в некоторых случаях техногигант уменьшил вознаграждение в десять раз или на 90%.

Еще в прошлом году исследователь Маркус Хатчинс (Marcus Hutchins), также известный как MalwareTech, сообщил в Twitter, что за обнаруженную уязвимость получил от компании всего $1 тыс., хотя раньше сумма вознаграждения за такие уязвимости составляла $10 тыс.

Другие исследователи публикуют такие же жалобы. К примеру, как недавно сообщил исследователь безопасности системы виртуализации Hyper-V под псевдонимом rthhh17, Microsoft оценила его уязвимость, которую можно проэксплуатировать с гостевой машины, всего в $5 тыс.

Самый последний пример недовольного исследователя - Абдельхамид Насери, опубликовавший PoC-код для еще неисправленной уязвимости в Windows в отместку Microsoft за снижение суммы вознаграждения.

В настоящее время расценки bug bounty следующие:

Примечательно, что, хотя rthhh получил за свою уязвимость удаленного выполнения кода в Hyper-V всего $5 тыс., согласно сайту Microsoft, подобные уязвимости оцениваются "до $250 тыс." Другими словами, компания снизила сумму вознаграждения на 80%.

Статья уведена с www.securitylab.ru.

NetLan.ru жив уже 15 лет 308 дней 14 часов 21 минута 51 секунда
СМК NetLan (Nettlesome Landloper) — некоммерческий интернет-ресурс.
Весь данный интернет-ресурс и всё созданное или размещённое на нём используется в личных целях.