Microsoft пропонує до $20 000 за виявлення вразливостей безпеки в Xbox Live

Коли справа доходить до захисту складних продуктів, компанії все частіше звертаються до програм bug bounty, щоб запропонувати представникам громадськості знайти вразливості в системі безпеки. У минулому році програма Google по винагороді за виявлення багів принесла 6,5 мільйонів доларів, а Apple нещодавно розширила свою програму, включивши в неї помилки в macOS, а також в iOS.

Зараз Microsoft розширює свою власну програму винагороди за виправлення помилок, яка охоплює програмне забезпечення, таке як офісний пакет Office і браузер Edge, а також мережу і сервіси Xbox Live. Компанія виплачуватиме винагороду кожному, хто знайде та відтворить вразливість в системі Xbox Live.

Як повідомляється в блозі Центру реагування на загрози Microsoft, “Програма Xbox bounty запрошує геймерів, дослідників безпеки і технологів з усього світу допомогти виявити вразливості в мережі і сервісах Xbox і поділитися ними з командою Microsoft Xbox за допомогою програми Coordinated Vulnerability Disclosure (CVD). Відповідні заявки з чітким і стислим обґрунтуванням концепції (POC) можуть претендувати на нагороди до 20 000 доларів США”.

CVD – це політика, згідно з якою дослідники погоджуються розкривати будь-які знайдені ними вразливості творцям програмного забезпечення (в даному випадку Microsoft) і дозволяють творцям керувати подальшим розкриттям. По суті, учасники програми bug bounty погоджуються з тим, що вони будуть передавати інформацію про вразливості в Microsoft і дозволять Microsoft займатися закриттям лазівок в безпеці і оголошенням про них громадськості.

Для реєстрації в програмі користувачі повинні мати мережевий обліковий запис Xbox, при цьому Microsoft рекомендує мати доступ до Xbox з Xbox Game Pass або Xbox Gold. Після того, як користувач виявив вразливість в системі безпеки, яка може бути відтворена в останній, виправленій версії Xbox Live, він повинен повідомити про це в письмовому або відеоформаті.

Розмір винагороди варіюється від 1000 доларів США за неякісне повідомлення про вразливість, яка дозволяє втручання, до 20 000 доларів США за якісне повідомлення про критичну вразливість, яка дозволяє віддалене виконання коду.

Атаки на відмову в обслуговуванні не є частиною програми і заборонені, так само як і автоматизовані атаки, що генерують значний трафік. Атаки соціальної інженерії, такі як фішинг, також не допускаються.

Детальніше з деталями програми bug bounty можна ознайомитися на сайті Microsoft.

Рекомендації редакції

• Nvidia вбиває GameStream на Shield, перенаправляючи користувачів в Steam
• У Великобританії хочуть розділити хмарний ігровий простір Google і Apple

Source: digitaltrends.com