De la primele inițiative de tip bug bounty până la conferințele de securitate care adună cercetători din toată lumea, Microsoft anunță o schimbare semnificativă: va acorda acum recompense pentru vulnerabilități critice care afectează orice serviciu online al companiei, indiferent dacă acel cod aparține Microsoft sau unor terți. Anunțul, făcut la Black Hat Europe de Tom Gallagher, vicepreședinte de inginerie la Microsoft Security Response Center, marchează o clară extindere a politicii de recompense, menită să reflecte realitatea modernă a lanțului de aprovizionare software.
Motivația este clară: atacatorii nu disting între codul Microsoft și componentele terțe atunci când exploatează vulnerabilități. Astfel, programul de bug bounty al Microsoft se extinde implicit la toate serviciile sale online, iar orice serviciu nou intră automat în program din ziua lansării. În practică, dacă o componentă comercială sau open-source utilizată de Microsoft are un impact direct asupra serviciilor online, descoperirea unei vulnerabilități care le afectează poate fi eligibilă pentru recompensă.
Tom Gallagher a subliniat că, atunci când un bug critic afectează serviciile online, acesta poate fi răsplătit, indiferent de cine deține sau administrează codul. Microsoft va remedia problemele semnalate și va susține cercetarea în zonele cele mai expuse, recunoscând și acordând recompense chiar și acolo unde anterior nu existau programe dedicate. Schimbarea urmărește să concentreze atenția comunității de securitate asupra celor mai vulnerabile puncte.
Datele recente reflectă deja un angajament financiar consistent: în ultimele 12 luni Microsoft a plătit peste 17 milioane de dolari către 344 de cercetători, iar în anul precedent suma a fost de 16, 6 milioane de dolari pentru 343 de cercetători. Aceste cifre confirmă că programul este activ și că firma investește constant în colaborarea cu cercetătorii externi pentru a întări securitatea serviciilor sale.
Anunțul face parte din inițiativa mai amplă Secure Future Initiative, axată pe securitate în toate operațiunile Microsoft. În același context, compania a dezactivat toate controalele ActiveX în versiunile pentru Windows ale aplicațiilor Microsoft 365 și Office 2024 și a actualizat setările de securitate implicite din Microsoft 365 pentru a bloca accesul la fișierele din SharePoint, OneDrive și Office prin protocoale de autentificare învechite. Astfel de măsuri reduc vectorii de atac tradiționali și simplifică protecția utilizatorilor.
Pe partea de produs, Microsoft a început să implementeze o funcție în Teams care împiedică capturile de ecran în timpul întâlnirilor și a anunțat planuri pentru a proteja autentificările Entra ID împotriva atacurilor prin injecție de script. Sunt pași concreți care arată că îmbunătățirile de securitate provin atât din politici și finanțare, cât și din funcționalități practice ale aplicațiilor.
Microsoft a plătit peste 17 milioane de dolari cercetătorilor în ultimul an. Extinderea recompenselor către vulnerabilitățile din dependențele terțe, măsurile privind ActiveX, noile setări pentru SharePoint și OneDrive și funcția din Teams conturează tema securității lanțului software și a responsabilității comune. Răsplătirea cercetărilor care descoperă astfel de probleme pare o metodă pragmatică de a transforma posibile puncte slabe în oportunități de îmbunătățire, iar evenimente precum Black Hat Europe rămân platforme potrivite pentru astfel de anunțuri. Tu ce crezi: ar trebui și alte companii să-și extindă politicile de recompense în același mod, acoperind și dependențele terțe?
Fii primul care comentează