Az elmúlt 12 hónapban a társaság több mint 5 milliárd forintnak megfelelő összeggel jutalmazta a kutatók felfedezéseit.

A Microsoft 2021 júliusa és 2022 júniusa között összesen 13,7 millió dollár jutalmat fizetett ki 335 kutatónak a világ 46 országában. A legnagyobb kifizetés értéke 200 ezer dollár volt a Hyper-V Bounty Program keretében, az átlag pedig 12 ezer dollár volt a vállalat összes bug bounty kezdeményezését tekintve – derül ki a Microsoft hivatalos blogjának bejegyzéséből. Az ezt megelőző, 2020-21-es időszakban a társaság pont ugyanekkora összegről, 13,7 millió dollárról számolt be a feltárt hibák díjazására, de a körülmények és maguk a programok is változtak az elmúlt két évben.

A társaság által közölt adatokből kiderül például, hogy valamelyest csökkent a támogatható sebezhetőségi jelentések száma, de ugyanilyen kis mértékben nőtt a díjazott kutatók száma. A Microsoft változtatásai között szerepel, hogy ezúttal akár 26 ezer dollárral többet fizetett az Office 365 termékcsaládot érintő, "nagy hatású" hibákért, de az összegeket más esetekben is 30 százalékkal emelte, szcenárió alapú díjazással ösztönözve a kutatókat az olyan sérülékenységek feltárására, amelyek a legnagyobb hatással lehetnek a cég ügyfeleinek informatikai biztonságára.

A hibáknál is érdekesebb a hibák kihasználása

A Microsoft mindezzel azokra a bounty programokra (Azure, Dynamics 365, Power Platform, M365) fókuszál, amelyek felhő alapú technológiáira és szolgáltatásaira vannak a legnagyobb hatással, beleértve az olyan területeket is, mint az Azure Synapse Analytics, az Azure Kubernetes Services és az Azure Key Vault. Ahogy a beszámolók kiemelik, a szoftvercég borzalmasan széles támadási felületet kénytelen kezelni az Office csomagokon, a Windows operációs rendszereken és mindenféle legacy kódokon keresztül, amelyeken a támadók is folyamatosan keresik a hézagokat.

Összehasonlításképpen, a Google 2021-ben 8,7 millió dollárnyi díjazást osztott ki a hibavadászoknak, amit a maga részéről rekord nagyságú kifizetésnek nevezett. A The Register néhány napja közölt interjút a cég bug bounty programokért is felelős biztonsági vezetőjével, aki szerint a sebezhetőségek felkutatása és befoltozása önmagában nem valami előremutató dolog. Igazán kifizetődőnek azt tartja, amit a vállalat az exploitokból (tulajdonképpen a hibák kihasználásából) tanulhat, a kutatók közösségét pedig ebben a tekintetben inkább a kíváncsiság motiválja – bár nyilván az sem árt, ha anyagilag is elismerik az erőfeszítéseiket.

Biztonság

Mit kell tenni, amikor beüt a krach?

Előrelátó tervezés és meghatározott menetrend segíti az incidensek minél gyorsabb elhárítását. Ehhez azonban sok feladatot és felelősséget kell tisztázni – még jóval azelőtt, hogy bekövetkezik a baj.
 
Előrelátó tervezés és meghatározott menetrend segíti az incidensek minél gyorsabb elhárítását. Ehhez azonban sok feladatot és felelősséget kell tisztázni – még jóval azelőtt, hogy bekövetkezik a baj.

a melléklet támogatója a ONE Solutions

Egy kormányrendelet alapjaiban formálják át 2026-tól az állami intézmények és vállalatok szoftvergazdálkodási gyakorlatát.

Projektek O-gyűrűje. Mit tanulhat egy projektvezető a Challenger tragédiájából?

A Corvinus Egyetem és a Complexity Science Hub kutatói megmérték: a Python kódok közel harmadát ma már mesterséges intelligencia írja, és ebből a szenior fejlesztők profitálnak.

Rengeteg ország áll át helyi MI-platformra

Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizennegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2026 Bitport.hu Média Kft. Minden jog fenntartva.