Компания Microsoft объявила об официальном старте bug bounty программы для игровой платформы Xbox. За обнаруженные уязвимости в сети Xbox Live и сервисах исследователям заплатят от 500 до 20 000 долларов США.
Поучаствовать в новой программе вознаграждений за уязвимости сможет любой, будь это простой геймер или высококлассный ИБ-специалист. Эксперты Microsoft Security Response Center пишут, что для этого понадобится лишь внятное описание проблемы, а также четкий и краткий PoC (proof of concept), чтобы команда Xbox могла оценить потенциальную опасность ошибки и воспроизвести уязвимость перед исправлением.
Bug bounty будет охватывать бэкэнд-инфраструктуру облака Xbox Live. При этом Microsoft автоматически дисквалифицирует исследователей, которые попытаются получить доступ к конфиденциальным данным пользователей Xbox; применять фишинг или социальную инженерию против пользователей и сотрудников Xbox; попробуют найти путь бокового движения внутри сети Xbox (то есть выйдут за рамки минимально необходимые для демонстрации влияния уязвимости).
Компанию интересуют баги ведущие к выполнению кода, повышению привилегий, обходу механизмов безопасности, раскрытию информации, спуфингу и другим изменениям. На проблемы отказа в обслуживании (DoS) программа не распространяется.
Вознаграждения за найденные баги будут выплачиваться в соответствии с приведенной ниже таблицей. Так, уязвимости, допускающие удаленное выполнение кода, могут принести специалистам от 5000 до 20 000 долларов, а уязвимости допускающие повышение привилегий — от 1000 до 8000 долларов.