Microsoft rozširuje svoje „bug bounty“ programy. Etických hackerov štedro odmení

Hľadaním a opravou zraniteľností vo svojich softvérových produktoch a riešeniach sa zaoberá takmer každá väčšia spoločnosť, obzvlásť v prípade, ak má množstvo používateľov po celom svete.

Každá chyba, ktorú je možné zneužiť, môže teoreticky vyústiť v obrovské problémy, jednak pre samotnú spoločnosť, poškodením jej dobrého mena a odchodom klientov, ako aj pre samotných používateľov, ktorí môžu prísť o cenné dáta a osobné údaje.

Neustále testovanie produktov je značne problematické a finančne i časovo náročné, preto sa veľké firmy okrem svojich interných tímov spoliehajú aj na etických hackerov, ktorí často dokážu problémy ľahko identifikovať a za ich následné nahlásenie dostanú nemalú finančnú odmenu.

Tieto iniciatívy sú známe pod označením „bug bounty program“, a hoci donedávna išlo v našich končinách o pomerne neznámy koncept, po zavedení nariadenia GPRD, sa s nimi stretávame čoraz častejšie.

Ochranu klientských dát kvôli zavedeným sakciám nemožno brať na ľahkú váhu, spoločnosti preto zvažujú ako svoje systémy pracujúce s citlivými údajmi v rozumných medziach, ale hlavne za rozumné peniaze, otestovať. U nás sa problematike „bug bounty programov“ venuje napríklad spoločnosť Hacktrophy, za ktorou stoja ľudia zo známeho ESETu.

Súvisiacie články

Veľké firmy, ako je Microsoft, si ale tieto záležitosti obvykle riešia vo vlastnej réžii. Príkladom je „Windows Bounty Program“, ktorý zastrešuje všetky bežne používané produkty, vrátane prehliadača Microsoft Edge, testovacích zostáv z programu Windows Insider, bezpečnostného riešenia Windows Defender, či virtualizačného rozhrania Hyper-V.

To, že túto oblasť firma neberie na ľahkú váhu zdôrazňuje aj minuloročné zvyšovanie odmien – podľa závažnosti zraniteľnosti a množstva zaslaných informácií oznamovateľovi vypláca od 500 až po 250 000 dolárov.

Len pred pár dňami Microsoft svoje „odmeňovacie programy“ dokonca rozšíril o ďalšie kategórie. Po novom sa odborná verejnosť môže cez iniciatívu Microsoft Identity Bounty Program pustiť do hľadania nedostatkov v prihlasovacích a autentifikačných mechanizmoch na stránkach ako login.windows.net, login.microsoftonline.com, login.live.com, account.live.com, prípadne v aplikácii Microsoft Authenticator.

Odmeny sa v tomto prípade pohybujú od 500 dolárov, až po maximum 100 000 dolárov. Opäť platí, že ich výška sa určuje podľa závažnosti problému, kvality spracovania, množstva zaslaných podrobností a ďalších faktorov. Podrobnosti nájdete na oficiálnej stránke programu, kde je zverejnený aj presný zoznam stránok a požiadaviek.

Disqus Comments Loading...

Vážení čitatelia a návštevníci portálu MojWindows.sk, pre skvalitnenie služieb používame súbory cookies. Prehliadaním tohto webu tak súhlasíte s používaním týchto súborov.