A Microsoft anunciou uma atualização significativa ao seu programa de recompensas por falhas de segurança (.bug bounty) para o .NET, elevando os prémios para valores que podem atingir os 40.000 dólares (cerca de 37.000 euros) para as vulnerabilidades mais críticas encontradas no .NET e ASP.NET Core.
As mudanças, que entram em vigor imediatamente, visam refletir de forma mais precisa a complexidade associada à descoberta e exploração de vulnerabilidades neste ecossistema. Madeline Eckert, gestora de programas sénior na área de Incentivos a Investigadores e Recompensas da Microsoft, afirmou que as atualizações expandem o âmbito do programa, simplificam a estrutura de prémios e oferecem grandes incentivos para os investigadores de segurança.
Num anúncio oficial, Eckert detalhou que "o Programa de Recompensas .NET oferece agora prémios até 40.000 dólares para vulnerabilidades que impactem o .NET e o ASP.NET Core (incluindo Blazor e Aspire)".
Novos valores e tecnologias abrangidas
A nova estrutura de prémios estabelece pagamentos máximos com base na severidade da falha descoberta:
Até 40.000 dólares para falhas críticas de execução remota de código (RCE) e escalada de privilégios.
Até 30.000 dólares para falhas críticas que permitam contornar funcionalidades de segurança (security feature bypass).
Até 20.000 dólares para bugs críticos de negação de serviço remota (DoS).
Além do aumento dos valores, a Microsoft expandiu o programa para cobrir de forma mais completa as vulnerabilidades no .NET Framework. A cobertura inclui agora todas as versões suportadas do .NET e ASP.NET, tecnologias adjacentes como F#, versões do ASP.NET Core para o .NET Framework, os templates fornecidos com as versões suportadas, e ainda as GitHub Actions nos repositórios do .NET e ASP.NET Core.
Um investimento contínuo em segurança
Este reforço no programa de bug bounty faz parte da iniciativa mais ampla da empresa, a Secure Future Initiative (SFI). Este plano de cibersegurança, lançado em novembro de 2023, surgiu na sequência de um relatório contundente do Cyber Safety Review Board do Departamento de Segurança Interna dos EUA, que classificou a "cultura de segurança da Microsoft como inadequada e a necessitar de uma revisão geral".
A aposta no aumento das recompensas não é um caso isolado. No início do ano, a Microsoft já tinha aumentado os prémios para 30.000 dólares para vulnerabilidades de Inteligência Artificial encontradas nos serviços e produtos Power Platform e Dynamics 365. Em fevereiro, anunciou também um aumento nos pagamentos para falhas de severidade moderada no Microsoft Copilot (IA) e um multiplicador de 100% em todos os prémios de bounty para o Copilot, de forma a incentivar a investigação em IA.
Aplicações TugaTech
Discord do TugaTech
RSS do TugaTech
Speedtest Tugatech
Host TugaTech