Microsoft hat das Bug Bounty Programm ausgeweitet und bezahlt jetzt für jede aufgedeckte kritische Schwachstelle, so ein
Bericht von "Bleeping Computer". Die neue Regelung wurde anlässlich der Cybersecurity-Konferenz Black Hat Europe angekündigt. Wie Microsofts Vice President of Engineering at Microsoft Security Response Center in einem
Blog-Beitrag erläutert, werden mit der neuen Regelung Belohnungen für Code-Fehler in Microsoft-eigenem wie auch Code von Drittanbietern ausgeschüttet. Cyberkriminelle würden nicht zwischen Microsoft- und Drittanbieter-Code unterscheiden, weshalb das Bug Bounty-Programm nun alle Dienste einschliesse, sobald diese veröffentlicht würden. Dazu umfasst das Programm nun auch Sicherheitslecks in Abhängigkeiten von Drittanbietern, inklusive kommerziellen oder Open-Source-Komponenten, sofern diese Auswirkungen auf Microsofts Online-Dienste habe.
Laut Gallagher gilt daher ab sofort, dass wenn eine kritische Sicherheitslücke direkte und nachweisbare Auswirkungen auf Microsofts Online-Dienste hat, kommt sie für eine Prämie in Frage. Dies unabhängig davon, ob der Code
Microsoft, einem Drittanbieter oder der Open Source Community gehört.
Wie sehr die ausgeschütteten Preisgelder ansteigen werden, wird sich zeigen. In den vergangenen 12 Monaten hat der Konzern über 17 Millionen an Bounty-Belohnungen an 344 Sicherheitsforscher ausbezahlt.
(rd)
