A Microsoft estabeleceu um novo marco no seu programa de bug bounty, pagando um valor recorde de 17 milhões de dólares (aproximadamente 15,6 milhões de euros) a 344 investigadores de segurança espalhados por 59 países. Este valor refere-se ao período entre julho de 2024 e junho de 2025.
Uma caça a vulnerabilidades sem precedentes
Durante os últimos doze meses, os investigadores submeteram um total de 1.469 relatórios de vulnerabilidades elegíveis, com a recompensa individual mais elevada a atingir os 200.000 dólares (cerca de 184.000 euros). Segundo a empresa, estes relatórios foram cruciais para resolver mais de 1.000 falhas de segurança potenciais numa vasta gama de produtos e plataformas da Microsoft, incluindo Azure, Microsoft 365, Dynamics 365, Power Platform, Windows, Edge e Xbox.
Este valor representa um ligeiro aumento em relação ao ano anterior, durante o qual a Microsoft tinha pago 16,6 milhões de dólares a 343 investigadores de 55 países.
O papel vital da comunidade e da Inteligência Artificial
Na sua revisão anual do programa, a Microsoft destacou a importância desta colaboração. "Ao incentivar investigadores independentes a identificar vulnerabilidades em áreas de alto impacto, incluindo o campo da IA em rápida evolução, conseguimos manter-nos à frente das ameaças emergentes", pode ler-se na publicação do blog da empresa. "Através da Divulgação Coordenada de Vulnerabilidades, estes investigadores desempenham um papel crítico no reforço da confiança que milhões de utilizadores depositam diariamente nas tecnologias da Microsoft."
Expansão e reforço contínuo do programa
Este ano, a gigante tecnológica expandiu vários dos seus programas de recompensa. O programa para o Copilot AI, por exemplo, passou a incluir vulnerabilidades de serviços online tradicionais. Os programas Dynamics 365 e Power Platform introduziram uma nova categoria dedicada à Inteligência Artificial, enquanto o programa do Windows adicionou prémios para ataques de negação de serviço (DoS) remotos e cenários de fuga de sandbox local.
Adicionalmente, o programa de Identidade foi alargado para cobrir mais APIs e domínios, e o programa Defender passou a incluir o Microsoft Defender for Identity (MDI), Microsoft Defender for Office (MDO) e Microsoft Defender for Cloud Applications (MDA).
Mais recentemente, a empresa anunciou pagamentos mais elevados para falhas de segurança de severidade moderada no Microsoft Copilot, aumentou as recompensas para 40.000 dólares para certas vulnerabilidades no .NET e ASP.NET Core, e subiu os prémios para falhas de IA na Power Platform e Dynamics 365. Olhando para o futuro, a Microsoft revelou que irá oferecer até 5 milhões de dólares em prémios no concurso de hacking Zero Day Quest deste ano, descrito como o "maior evento de hacking da história".
Nenhum comentário
Seja o primeiro!