A Microsoft anunciou uma mudança profunda em sua política de recompensas por vulnerabilidades, passando a pagar pesquisadores que identifiquem falhas críticas em qualquer produto ou serviço conectado ao seu ecossistema — mesmo quando não existir um programa oficial de bug bounty para aquele sistema específico. A novidade foi apresentada por Tom Gallagher, vice-presidente de engenharia do Microsoft Security Response Center (MSRC), durante a conferência Black Hat Europe.
Segundo Gallagher, a empresa adotará o modelo denominado “in scope by default” (em escopo por padrão). Na prática, isso significa que qualquer vulnerabilidade crítica com impacto comprovado nos serviços online da Microsoft poderá ser elegível a recompensa financeira. A política passa a abranger não apenas códigos desenvolvidos internamente, mas também aplicações de terceiros e projetos de código aberto que integrem a cadeia de serviços da companhia.
“Independentemente de o código ser gerenciado pela Microsoft, por um fornecedor terceirizado ou pela comunidade open source, faremos o que for necessário para corrigir o problema”, afirmou Gallagher. O executivo destacou que o objetivo é direcionar os esforços dos pesquisadores para os pontos de maior risco, especialmente aqueles mais explorados por hackers em ataques reais.
Um dos pilares da nova política é a padronização das recompensas. Vulnerabilidades da mesma classe e severidade passarão a receber o mesmo valor, independentemente de estarem em um produto Microsoft ou em um componente de terceiros integrado à sua infraestrutura. Além disso, produtos recém-lançados, que ainda não contam com um programa específico de bug bounty, já estarão automaticamente cobertos pelas novas regras.
A iniciativa marca uma mudança significativa na postura do MSRC, que historicamente mantinha critérios mais restritivos sobre quais produtos e tipos de falhas poderiam ser recompensados. De acordo com a Microsoft, o novo modelo visa fortalecer sua estratégia de segurança diante de um cenário de ameaças cada vez mais sofisticado, especialmente em ambientes de nuvem e soluções baseadas em inteligência artificial.
Em termos financeiros, a empresa revelou ter pago mais de US$ 17 milhões em recompensas a pesquisadores no último ano, somando os valores do programa tradicional de bug bounty e da competição Zero Day Quest. A expectativa é de que esse investimento cresça nos próximos ciclos, acompanhando a ampliação do escopo.
Apesar do avanço, o programa ainda carrega um histórico de críticas. A Microsoft lançou oficialmente seu bug bounty apenas em 2013, após anos de resistência. Desde então, embora muitos pesquisadores tenham sido beneficiados financeiramente, continuam sendo relatadas queixas sobre lentidão nas respostas, decisões controversas na triagem de vulnerabilidades e dificuldades no processo de submissão. Em alguns casos, essas insatisfações chegaram a ser expostas publicamente.
