Microsoft amplia bug bounty e passa a pagar por falhas em códigos de terceiros e open source

A Microsoft anunciou uma reformulação significativa em sua política de recompensas por vulnerabilidades, prometendo pagar pesquisadores que identifiquem falhas críticas em qualquer produto ou serviço ligado ao seu ecossistema mesmo quando não existir um programa oficial de bug bounty para aquele sistema específico. A mudança foi apresentada por Tom Gallagher, vice-presidente de engenharia do Microsoft Security Response Center (MSRC), durante a conferência Black Hat Europe.

Segundo Gallagher, a empresa passará a adotar o modelo chamado “in scope by default” (em escopo por padrão). Na prática, isso significa que qualquer vulnerabilidade crítica, desde que tenha impacto comprovado nos serviços online da Microsoft, poderá ser elegível a recompensa financeira. A política inclui não apenas códigos desenvolvidos internamente, mas também aplicações de terceiros e projetos de código aberto que façam parte da cadeia de serviços da companhia.

“Independentemente de o código ser gerenciado pela Microsoft, por um fornecedor terceirizado ou pela comunidade open source, faremos o que for necessário para corrigir o problema”, afirmou Gallagher. De acordo com ele, o objetivo é incentivar pesquisadores a focarem nos pontos de maior risco, especialmente aqueles mais visados por hackers e invasores em cenários reais de exploração.

Um dos pontos centrais da mudança é a equiparação das recompensas: uma vulnerabilidade de mesma classe e severidade receberá o mesmo valor, seja encontrada em um produto Microsoft ou em um componente de terceiros integrado à sua infraestrutura. Além disso, mesmo produtos recém-lançados, que ainda não possuam um programa de bug bounty dedicado, já estarão automaticamente cobertos pela nova política.

A iniciativa representa uma mudança de postura do MSRC, que historicamente adotava regras mais restritivas sobre quais produtos e tipos de falhas poderiam ser recompensados. Segundo a empresa, o novo modelo busca fortalecer a postura de segurança diante de um cenário de ameaças cada vez mais complexo, especialmente em ambientes de nuvem e soluções baseadas em inteligência artificial.

Em números, a Microsoft revelou ter pago mais de US$ 17 milhões em recompensas a pesquisadores ao longo do último ano, somando valores do programa de bug bounty tradicional e da competição Zero Day Quest. A expectativa é de que esse investimento aumente nos próximos ciclos.

Apesar dos avanços, o histórico do programa não é isento de críticas. A Microsoft só lançou oficialmente seu bug bounty em 2013, após anos de resistência. Desde então, embora muitos pesquisadores tenham se beneficiado financeiramente, ainda são comuns reclamações sobre lentidão nas respostas, decisões controversas na triagem de falhas e dificuldades no processo de submissão. Em alguns casos, pesquisadores frustrados chegaram a tornar públicas suas insatisfações com o MSRC.

Via - TR