Microsoft выплачивает первые вознаграждения за данные о багах
Microsoft получила несколько отчетов по безопасности своих продуктов, которые были квалифицированы, как достойные финансового вознаграждения. Напомним, что Microsoft запустила программу вознаграждения за данные о багах в прошлом месяце для предварительной версии Internet Explorer 11.
Получателем первого вознаграждения за данные о брешах в Internet Explorer 11 стал Иван Фратрич, специалист по ИТ-безопасности, который в прошлом году занял второе место на соревновании Microsoft BlueHat и получил 50 000 долларов. В рамках этого мероприятия независимые специалисты соревнуются в разработке оборонительных ИТ-стратегий и систем защиты от нападений. Фратрич создал систему ROPGuard, которая обнаруживает и блокирует ROP-атаки (Return-oriented programming).
В Microsoft не сообщили, какие именно данные были переданы, но подтвердили, что данные об уязвимости были верифицированы и теперь разработчика ожидает вознаграждение.
Согласно списку, опубликованному корпорацией, в зависимости от степени опасности проблемы варьируется и размер вознаграждения. В то случае, если разработчик обнаружит баг, который позволяет сделать рабочий эксплоит и обойти систему безопаности на уровне платформы, то он получит до 100 000 долларов. Так называемые «дыры в броне» — это самый опасный для компании вариант бага и за него полагается самое высокое вознаграждение. Фактически, данное вознаграждение даже превышает 50 000 долларов, которые компания выплачивала на BlueHat.
В компании говорят, что для разных продуктов сетка вознаграждений различна. К примеру, для Internet Explorer 11 она выглядит так (вступил в силу с 26 июня):
