A Microsoft 2021 júliusa és 2022 júniusa között összesen 13,7 millió dollár jutalmat fizetett ki 335 kutatónak a világ 46 országában. A legnagyobb kifizetés értéke 200 ezer dollár volt a Hyper-V Bounty Program keretében, az átlag pedig 12 ezer dollár volt a vállalat összes bug bounty kezdeményezését tekintve – derül ki a Microsoft hivatalos blogjának bejegyzéséből. Az ezt megelőző, 2020-21-es időszakban a társaság pont ugyanekkora összegről, 13,7 millió dollárról számolt be a feltárt hibák díjazására, de a körülmények és maguk a programok is változtak az elmúlt két évben.

A társaság által közölt adatokből kiderül például, hogy valamelyest csökkent a támogatható sebezhetőségi jelentések száma, de ugyanilyen kis mértékben nőtt a díjazott kutatók száma. A Microsoft változtatásai között szerepel, hogy ezúttal akár 26 ezer dollárral többet fizetett az Office 365 termékcsaládot érintő, "nagy hatású" hibákért, de az összegeket más esetekben is 30 százalékkal emelte, szcenárió alapú díjazással ösztönözve a kutatókat az olyan sérülékenységek feltárására, amelyek a legnagyobb hatással lehetnek a cég ügyfeleinek informatikai biztonságára.

A hibáknál is érdekesebb a hibák kihasználása

A Microsoft mindezzel azokra a bounty programokra (Azure, Dynamics 365, Power Platform, M365) fókuszál, amelyek felhő alapú technológiáira és szolgáltatásaira vannak a legnagyobb hatással, beleértve az olyan területeket is, mint az Azure Synapse Analytics, az Azure Kubernetes Services és az Azure Key Vault. Ahogy a beszámolók kiemelik, a szoftvercég borzalmasan széles támadási felületet kénytelen kezelni az Office csomagokon, a Windows operációs rendszereken és mindenféle legacy kódokon keresztül, amelyeken a támadók is folyamatosan keresik a hézagokat.

Összehasonlításképpen, a Google 2021-ben 8,7 millió dollárnyi díjazást osztott ki a hibavadászoknak, amit a maga részéről rekord nagyságú kifizetésnek nevezett. A The Register néhány napja közölt interjút a cég bug bounty programokért is felelős biztonsági vezetőjével, aki szerint a sebezhetőségek felkutatása és befoltozása önmagában nem valami előremutató dolog. Igazán kifizetődőnek azt tartja, amit a vállalat az exploitokból (tulajdonképpen a hibák kihasználásából) tanulhat, a kutatók közösségét pedig ebben a tekintetben inkább a kíváncsiság motiválja – bár nyilván az sem árt, ha anyagilag is elismerik az erőfeszítéseiket.