A Microsoft está a preparar o terreno para o que descreve como o "maior evento de hacking da história", a competição Zero Day Quest, oferecendo um total de até 5 milhões de dólares (aproximadamente 4,6 milhões de euros) em prémios. Este valor representa um aumento significativo face aos 4 milhões de dólares oferecidos no ano passado, um evento que já tinha gerado uma participação massiva da comunidade de segurança, com mais de 600 submissões de vulnerabilidades e 1,6 milhões de dólares pagos em recompensas.
Nesta nova edição, o foco da gigante tecnológica está novamente na segurança da computação em nuvem e da Inteligência Artificial (IA), áreas críticas para o seu ecossistema de produtos.
Como vai funcionar a Zero Day Quest 2025
Entre os dias 4 de agosto e 4 de outubro de 2025, a Microsoft aceitará submissões como parte de um desafio de investigação aberto a todos os especialistas em segurança. Para incentivar a descoberta das falhas mais críticas, a empresa oferece um bónus de 50% sobre o valor da recompensa para vulnerabilidades de severidade crítica e cenários de alto impacto. Estes devem estar alinhados com os programas de "bug bounty" já existentes para Microsoft Azure, Copilot, Dynamics 365 e Power Platform, Identity ou M365.
Os investigadores com melhor desempenho serão qualificados para um evento de hacking ao vivo, exclusivo por convite, que terá lugar no campus da Microsoft em Redmond na primavera de 2026. Esta será uma oportunidade para os principais talentos da área colaborarem diretamente com as equipas do Microsoft Security Response Center (MSRC) e de produtos da Microsoft.
Para apoiar os participantes, a empresa planeia realizar sessões de formação lideradas pela sua Equipa Vermelha de IA, pelo MSRC e pelas equipas do Dynamics, cobrindo tópicos como testes de sistemas de IA, programas de "bug bounty" e metodologias de investigação de segurança.
Uma resposta a críticas passadas
Esta iniciativa faz parte do programa Secure Future Initiative (SFI) da Microsoft, um esforço de engenharia de cibersegurança lançado em novembro de 2023. A criação do SFI surgiu na sequência de um relatório do Cyber Safety Review Board do Departamento de Segurança Interna dos EUA, que classificou a cultura de segurança da empresa como "inadequada e a necessitar de uma revisão".
"Como parte da nossa Secure Future Initiative (SFI), partilharemos de forma transparente as vulnerabilidades críticas através do programa CVE, mesmo que não seja necessária qualquer ação por parte do cliente," afirmou a Microsoft. "As aprendizagens da Zero Day Quest serão partilhadas em toda a Microsoft para ajudar a melhorar a segurança da Cloud e da IA," pode ler-se no anúncio publicado no blog do MSRC.
Microsoft reforça outros programas de recompensa
Paralelamente a este grande evento, a Microsoft revelou também um aumento nas recompensas para vulnerabilidades específicas em .NET e ASP.NET Core, que podem agora atingir os 40.000 dólares (cerca de 37.000 euros).
No início deste ano, a empresa já tinha aumentado os prémios para falhas de segurança relacionadas com IA na Power Platform e no Dynamics 365 para até 30.000 dólares (aproximadamente 27.500 euros). Adicionalmente, foi introduzido um multiplicador de 100% para todas as recompensas do Microsoft Copilot, como forma de incentivar a investigação focada em Inteligência Artificial.
Nenhum comentário
Seja o primeiro!