مايکروسافت به مدت سه ماه، جايزه‌اي ?? هزار دلاري براي محققان باگ در سرويس‌هايش در نظر گرفته است.

وايمکس نيوز- در چند هفته‌ي گذشته، گوگل با انتشار جزئياتي از باگ‌هاي امنيتي ويندوز 10، مايکروسافت را با مشکلات بزرگي روبه‌رو کرده است.

مايکروسافت براي پاسخ به اين چالش، جايزه‌ي پيدا کردن باگ يا Bug Bounty خود را دو برابر کرده و آن را به 30 هزار دلار رسانده است. اين جايزه در مدت محدود سه‌ماهه از ابتداي ماه مارس تا پايان ماه مي در نظر گرفته شده است و به محققان امنيتي که بتوانند باگ‌هاي مشخصي در سرويس‌هاي مايکروسافت پيدا کنند، اهدا خواهد شد.

البته اگر اين شرکت براي يافتن باگ‌ها از محققان استخدام‌شده استفاده کند، زمان تصميم‌گيري و مقابله با آن‌ها را در اختيار خواهد داشت و قبل از افشاي عمومي مي‌تواند باگ‌ها را برطرف کند. اما با انجام روند جديد، مايکروسافت تحت فشار بازه‌ي زماني سه‌ماهه قرار خواهد داشت که محققان مستقل به‌طور حتم پس از اين زمان، باگ‌ها را به‌صورت عمومي منتشر خواهند کرد.

برخي از سرويس‌هاي مورد آزمايش در اين طرح عبارتند از:

portal.office.com
outlook.office365.com
outlook.office.com
outlook.com
مجموع اين دامين‌ها به 18 عدد مي‌رسد و علاوه بر آن‌ها، 37 نقطه‌ي تحقيقاتي ديگر نيز در اين ليست قرار دارند.

مايکروسافت از محققان انتظار دارد که به دنبال باگ‌هاي به‌خصوصي باشند:

اسکريپت‌هاي بين سايتي يا Cross Site Scripting ا(XSS)
جعل درخواست‌ها بين سايت‌ها يا Cross Site Request Forgery ا(CSRF)
دست‌کاري بدون اجازه‌ي اطلاعات در سرويس‌هاي چندکاربره
منابع ناامن براي دسترسي به اشياء
آسيب‌پذيري تأييد هويت
آسيب‌پذيري تزريق بدافزار
اجراي کد در سمت سرور
افزايش سطح دسترسي
پيکربندي اشتباه در سطوح امنيتي (که بدون دخالت کاربر ايجاد شده باشند)
اگرچه 30 هزار دلار جايزه‌اي باارزش است؛ اما محققان مي‌توانند با فروش اطلاعات باگ‌ها در دارک وب، درآمد بسيار بيشتري کسب کنند. طبق گزارش‌هاي منتشرشده، محققان مي‌توانند باگ‌ها را در روز عرضه‌ي سرويس تا 200 هزار دلار به فروش برسانند. علاوه بر اين، آن‌ها مي‌توانند باگ‌ها را توسعه بدهند و به‌عنوان بخشي از يک پلتفرم بدافزاري به قيمت‌ بسيار بيشتر بفروشند. البته تمامي اين اقدامات کاملا غيرقانوني هستند و مجازات‌هاي سنگيني در پي دارند.

منبع:زوميت