Microsoft pagou mais de 2 milhões de dólares em 2018 para caçadores de bugs
O Microsoft Bug Bounty Program pagou, em 2018, mais de 2 milhões de dólares (cerca de 7,8 milhões de reais) em recompensas a especialistas e pesquisadores externos que encontraram bugs em seus produtos. Os resultados do projeto parecem ter sido bem positivos, tanto que a companhia anunciou uma série de ampliações e melhorias para os programas de incentivo.Segundo publicação oficial da Microsoft, as categorias Windows, Cloud e DevOps — que englobam produtos como Windows, Office 365, Azure e contas Microsoft — devem conceder os prêmios logo após a reprodução e análise de cada envio. Antes, isso só acontecia quando os erros eram completamente corrigidos pela empresa.
A ideia por trás dessas mudanças é acelerar os processos para todos os envolvidos: os colaboradores externos recebem mais rápido, as falhas chegam a menos pessoas e mais descobertas podem ser feitas. Da mesma forma, as novidades têm como objetivo atrair cada vez mais pesquisadores para a comunidade.
Outra novidade é que alguns prêmios passaram a ser mais altos. As categorias que englobam envios de Azure, contas Microsoft e outros serviços on-line passaram de 15 mil (cerca de 58,3 mil reais) para 20 mil dólares (cerca de 77,8 mil reais), enquanto os de Windows Insider Preview passaram de 15 mil para 50 mil dólares (cerca de 194,5 mil reais).
Para garantir a eficiência do projeto, a Microsoft fez uma parceria com a HackerOne, que será responsável pelo suporte e pela operação de entrega das recompensas. A união entre as empresas oferecerá aos beneficiados mais opções de pagamento, como PayPal, criptomoedas e transferências bancárias para mais de 30 moedas. Apesar da associação, os pesquisadores ainda devem repassar os relatórios de vulnerabilidades somente para a Microsoft, e não para a HackerOne.
A companhia também atualizou sua política de envios duplicados. No caso, o primeiro especialista a reportar um bug elegível à recompensa receberá o total do prêmio disponível para um programa, mesmo quando a Microsoft tiver conhecimento da falha relatada. Até então, em casos semelhantes, somente 10% do valor total eram entregues.
A empresa garantiu que o Bounty Program deverá passar por novas ampliações ao longo de 2019. Mais informações sobre o projeto podem ser obtidas aqui.