18 июня компания Microsoft объявила о запуске трех программ Microsoft Security Bounty, по которым компания впервые в своей истории обещает платить хакерам за информацию об опасных уязвимостях в Windows 8.1 и Internet Explorer 11.

Программа вознаграждений за баги в Internet Explorer 11 носит временный статус. Период входа в эту программу ограничен всего 30 днями с момента появления бета-версии Internet Explorer 11, то есть с 26 июня по 26 июля 2013 года. Для участников обещаны награды от $500 до $11 тыс.

Старший стратег по информационной безопасности Microsoft Кэти Муссурис (Katie Moussouris) пишет в официальном блоге, что хакерское сообщество «с энтузиазмом» восприняло новую программу выплат вознаграждений. За первые две недели ее действия было подано «более десяти заявок с описанием уязвимостей», что более чем в два раза превышает нормальный поток сообщений о багах. Итак, 10 июля Microsoft приняла решение осуществить первую выплату.

В своем роде, это историческое событие, поскольку Microsoft долгие годы воздерживалась от сотрудничества с хакерами в таком формате, объясняя это экономической нецелесообразностью. Однако, очевидный успех аналогичных программ Mozilla и Chrome в последние годы доказал, что они исключительно выгодны для разработчиков программного обеспечения, позволяют сэкономить деньги и улучшить свой имидж.

Microsoft пока не называет имя победителя, но говорит, что он точно не станет первым. Еще несколько человек уже квалифицировались для получения награды — и они получат уведомления об этом в ближайшие дни. Microsoft намерена открыть на сайте Microsoft Security Bounty «доску почета» с перечислением имен победителей, если они дадут согласие на это.

Очевидно, что уязвимости в продуктах Microsoft можно продать гораздо дороже другим покупателям. «Дело не в том, чтобы предложить больше всех денег, а в том, чтобы дать привлекательные бонусы в моменты, когда на эти уязвимости минимальное количество покупателей (если вообще хоть кто-то есть). Для наших продуктов это во время распространения preview- или бета-версии, — объясняет Кэти Муссурис. — Попытка предложить максимальную сумму — это ход игрока в шашки, а мы играем в шахматы».

На диаграмме Microsoft показано, что программа Bug Bounty пытается опередить формирование черного/серого/белого рынков уязвимостей.

Оставить мнение