A gigante tecnológica de Redmond decidiu alterar as regras do jogo no que toca à cibersegurança, anunciando uma expansão significativa do seu programa de recompensas por bugs ("bug bounty"). A partir de agora, a empresa irá pagar aos investigadores de segurança que encontrem vulnerabilidades críticas em qualquer um dos seus serviços online, independentemente de o código ter sido escrito pela própria Microsoft ou por terceiros.
Esta mudança de paradigma foi revelada durante a Black Hat Europe por Tom Gallagher, vice-presidente de engenharia do Microsoft Security Response Center. A lógica por detrás desta decisão é pragmática: os atacantes não discriminam a origem do código quando tentam explorar uma falha. Se uma vulnerabilidade existe num componente "open-source" ou comercial que a Microsoft utiliza, o impacto para o utilizador final é o mesmo de uma falha no código proprietário.
O código de terceiros entra na equação
Com esta nova política, designada internamente como "In Scope by Default" (No Âmbito por Omissão), todos os serviços online da empresa passam a estar cobertos pelo programa de recompensas assim que são lançados. A grande novidade reside na inclusão explicita de dependências de terceiros.
Segundo o anúncio oficial da Microsoft, se uma falha crítica num componente externo tiver um impacto direto e demonstrável nos serviços online da empresa, será elegível para uma recompensa monetária. O objetivo é incentivar a comunidade de investigação a focar-se nas áreas de maior risco, garantindo que a empresa faz "o que for preciso" para corrigir problemas, mesmo que o código original não seja da sua autoria.
Investimento massivo na proteção dos utilizadores
Este movimento insere-se na mais ampla "Secure Future Initiative" da empresa, que visa priorizar a segurança em todas as operações. Os números falam por si: nos últimos 12 meses, a Microsoft pagou mais de 17 milhões de dólares em recompensas a 344 investigadores de segurança, mantendo o ritmo do ano anterior.
Para além das recompensas, a iniciativa tem trazido outras medidas robustas para o ecossistema da empresa. Recentemente, foram desativados todos os controlos ActiveX nas versões Windows do Microsoft 365 e Office 2024, e foram atualizadas as predefinições de segurança para bloquear o acesso a ficheiros via protocolos de autenticação antigos.
A empresa tem estado ativa noutras frentes, como demonstrado quando o Microsoft Teams começou a implementar funcionalidades para bloquear tentativas de captura de ecrã durante reuniões confidenciais. Adicionalmente, estão previstos planos para proteger os inícios de sessão no Entra ID contra ataques de injeção de scripts, reforçando a barreira contra acessos não autorizados.
Nenhum comentário
Seja o primeiro!