A Microsoft anunciou uma reformulação em seu programa de recompensas por bugs, com o objetivo de premiar pesquisadores de segurança que identifiquem vulnerabilidades em todos os seus produtos e serviços, inclusive aqueles que não possuem programas formais de recompensa estabelecidos.
Durante a Black Hat Europe, Tom Gallagher, vice-presidente de engenharia do Centro de Resposta de Segurança da Microsoft (MSRC), afirmou que a empresa adotará uma abordagem chamada de “dentro do escopo por padrão”, ampliando significativamente o alcance do programa.
Pelo novo modelo, o MSRC passará a pagar recompensas a pesquisadores que reportarem vulnerabilidades críticas com impacto comprovado nos serviços online da Microsoft, independentemente da origem do código envolvido.
“Independentemente de o código ser propriedade e gerenciado pela Microsoft, por terceiros ou ser de código aberto, faremos tudo o que for necessário para solucionar o problema”, afirmou Gallagher. Segundo ele, o objetivo é incentivar pesquisas nas áreas de maior risco, especialmente aquelas mais visadas por agentes maliciosos.
A Microsoft também confirmou que a mesma classe de vulnerabilidade e o mesmo nível de gravidade resultarão em recompensas equivalentes, mesmo quando a falha estiver em código-fonte de terceiros, desde que haja impacto direto em seus serviços.
“Onde não existirem programas de recompensas, reconheceremos e premiaremos as contribuições da comunidade de pesquisa em segurança, independentemente de onde essa expertise seja aplicada”, explicou Gallagher, destacando que isso inclui domínios e infraestrutura corporativa de propriedade e gestão da Microsoft.
A mudança representa uma quebra de paradigma no programa de bug bounty da empresa, que anteriormente adotava um modelo mais restritivo, delimitando com precisão quais tipos de falhas e quais produtos eram elegíveis para recompensas.
Segundo Gallagher, a abordagem de “abrangência por padrão” garante que novos produtos e serviços já sejam automaticamente cobertos pelo programa, mesmo sem um plano de recompensas específico no momento do lançamento.
“A adoção desse modelo visa fortalecer nossa postura de segurança em um cenário de ameaças em constante evolução, especialmente nas áreas de computação em nuvem e inteligência artificial”, reforçou o executivo.
A Microsoft revelou ainda que pagou mais de US$ 17 milhões em recompensas a pesquisadores no último ano, considerando tanto o programa de bug bounty quanto a competição Zero Day Quest, e indicou que pretende aumentar esse investimento.
Lançado apenas em 2013, após anos de resistência interna, o programa de recompensas por bugs da Microsoft surgiu tardiamente em comparação a outras grandes empresas de tecnologia. À época, a principal defensora da iniciativa, Katie Moussouris, descreveu o processo como “ferver um sapo”.
Embora muitos pesquisadores tenham se beneficiado financeiramente do programa ao longo dos anos, críticas persistem. Entre as reclamações mais comuns estão tempos de resposta prolongados e decisões de triagem consideradas questionáveis por parte do MSRC. Alguns especialistas chegaram a manifestar publicamente sua frustração com o processo de submissão e avaliação de vulnerabilidades.
Fonte: The Registrer
