Estamos entusiasmados em compartilhar que este ano, o programa Microsoft Bounty distribuiu US $ 17 milhões para 344 pesquisadores de segurança de 59 paísesa maior recompensa whole concedida na história do programa.
Em estreita colaboração com o Microsoft Safety Response Heart (MSRC), esses pesquisadores de segurança ajudaram a identificar e resolver mais de mil vulnerabilidades em potencial, fortalecendo as proteções para os clientes da Microsoft em todo o mundo.
O programa Microsoft Bounty é uma parte essencial de nossa abordagem de segurança proativa. Ao incentivar pesquisadores independentes a identificar vulnerabilidades em áreas de alto impacto, incluindo o campo de IA em rápida evolução, podemos ficar à frente de ameaças emergentes. Através Divulgação de vulnerabilidades coordenadasesses pesquisadores desempenham um papel crítico no reforço da confiança que milhões de usuários colocam nas tecnologias da Microsoft todos os dias.
As iniciativas de recompensas da Microsoft abrangem um amplo portfólio de produtos e serviços da Microsoft, incluindo Azure, Microsoft 365, Dynamics 365, Energy Platform, Home windows, Edge, Xbox e muito mais. Cada programa foi projetado com escopos claros, requisitos de elegibilidade, camadas de premiação e diretrizes de envio – consumindo que os pesquisadores possam contribuir com segurança e eficácia para nossa missão compartilhada para proteger os clientes.
Para detalhes completos do programa, visite o https://aka.ms/bugbounty.
Em abril, o Microsoft Safety Response Heart recentemente recebeu alguns dos pesquisadores de segurança mais talentosos do mundo na Microsoft’s Zero dia da missãoa maior competição de hackers ao vivo desse tipo. O evento inaugural desafiou a comunidade de segurança a se concentrar nos cenários de segurança de maior impacto para copilot e nuvem.
O evento recebeu mais de 600 submissões de vulnerabilidades e concedeu mais de US $ 1,6 milhão durante o desafio de pesquisa qualificado e o evento ao vivo.
Durante as rodadas de qualificação, os pesquisadores enviaram seu trabalho para ter an opportunity de participar do evento pessoalmente e ganhar incentivos adicionais além do nosso prêmio common de Bugely Bounty. Um grupo seleto de pesquisadores então cavou ainda mais em Redmond e on-line para o evento ao vivo, onde eles trabalharam nos desafios de captura da bandeira nos produtos da Microsoft, participaram de eventos sociais e mantiveram discussões técnicas com as equipes de segurança da Microsoft.
Quase 100 pesquisadores também participaram de nossas sessões de treinamento, que incluíram a caça de insetos de IA com nossa equipe de AI Pink, treinamento do SSRF com nossa equipe de engenharia e dicas e conselhos da equipe de recompensas.
Zero dia da missão retornará anualmente com novos desafios de pesquisa, multiplicadores de recompensas e colaboração mais profunda entre equipes de engenharia de produtos da Microsoft, equipes de segurança do Microsoft e a comunidade de pesquisa de segurança. O desafio de pesquisa de 2026 agora está aberto, com o evento de hackers ao vivo retornando na primavera, trazendo novas oportunidades para os pesquisadores se envolverem, ganharem recompensas e ajudar a avançar a segurança.
Atualizações de programas de recompensa
À medida que o cenário de ameaças da Microsoft e o ecossistema de produtos continuam a evoluir, o mesmo acontece com o programa Microsoft Bounty. Adaptamos regularmente nossos programas – expandindo a cobertura para incluir novos produtos e serviços e refinar as prioridades de pesquisa para permanecer à frente de ameaças emergentes e técnicas de ataque. Essa evolução contínua garante que nossas iniciativas de recompensas permaneçam alinhadas com os mais recentes desafios de segurança e continuem a gerar um impacto significativo.
No ano passado, o programa introduziu publicamente o seguinte:
Programa de recompensa de copilot foi expandido para integrar vulnerabilidades tradicionais de serviço on -line Microsoft Vulnerability Severity Classification para serviços on -line, problemas de gravidade moderada e copiloto para o WhatsApp & Telegram. Essas alterações são projetadas para melhorar a eficácia do programa, incentivar a participação mais ampla e garantir que nossos produtos de consumo copiloto permaneçam robustos, seguros.
Programa de recompensa de identidade Expansão do escopo para incluir APIs de adição e domínios que seguram contas corporativas
Programa de recompensa do defensor Expansão do escopo para incluir o Microsoft Defender for Identification (MDI), o Microsoft Defender for Workplace (MDO) e o Microsoft Defender for Cloud Functions (MDA)
Programa de recompensa M365 Expansão do escopo para incluir Viva Glint, Studying, Pulse e Controle de Acesso a Recursos
Dynamics 365 & Energy Platform Bounty Program Prêmios expandidos para incluir a categoria de prêmio de Bounty AI
Programa de recompensa do Home windows Os prêmios de cenário de ataque foram atualizados para os Dos persistentes e os cenários de escape de sandbox native.
Os prêmios de Bounty são determinados pela gravidade e pelo impacto potencial da vulnerabilidade relatada, bem como pela clareza, precisão e integridade da submissão. Priorizamos prêmios em áreas que mais importam para nossos clientes, incentivando pesquisas que geram melhorias significativas de segurança onde isso mais conta.
Olhando para o futuro, continuamos comprometidos em evoluir nossos programas para proteger melhor os clientes e com base em seus comentários. Somos profundamente gratos à nossa comunidade international de pesquisadores de segurança por sua parceria e experiência contínuos em ajudar a proteger milhões de usuários da Microsoft.
Estamos empolgados em fortalecer as colaborações existentes e receber novos colaboradores, enquanto continuamos construindo um ecossistema digital mais seguro juntos.
Fique seguro e feliz caça!
Madeline Eckert, Lynn Miyashita, Nyesha Harden
Equipe da Microsoft Bounty