Microsoft ha alzato il premio per il proprio programma di bug bounty e lo fa per un motivo chiaro: perché la posta in palio si è alzata. La comunicazione è rapida, così come l’importanza è alta: rispetto al quadro tradizionale di ricompensa, il gruppo di Redmond è ora disposto a pagare fino al 30% in più. Così facendo non soltanto si pone l’accento sulla collaborazione con i ricercatori, ma si indirizzano anche le loro ricerche focalizzando l’attenzione sugli specifici ambiti nei quali il gruppo si dice disposto ad uno sforzo incrementale nei rimborsi.
Microsoft bug bounty
Va ricordato come solo fino a pochi anni or sono Microsoft fosse strenuamente contraria a questo tipo di azioni. Erano altri tempi ed era per molti versi un’altra Microsoft, ma dietro al ragionamento v’era anche un differente modo di intendere il rapporto con la community dei ricercatori di sicurezza. Microsoft è infine approdata ad un programma di bug bounty per assicurarsi questo tipo di servizio e per non vedersi esclusa da un sistema che ormai coinvolgeva già tutti i grandi gruppi tech. Oggi anche Microsoft ha il proprio programma e fino ad oggi il massimale per i bug del mondo Office 365 arrivava a 20 mila dollari. Questa cifra è salita a 26 mila proprio in virtù delle novità di queste ore.
La posta viene alzata in un momento delicato nel quale la cyberwar aumenta i rischi a livello globale. La suite di produttività Microsoft, a seguito della sua grande distribuzione in tutto il mondo, è tra gli applicativi maggiormente esposti poiché ha un alto perimetro d’attacco e un gran numero di dati gestiti. Stesso discorso vale per Azure, dove il programma di bug bounty arriva a pagare fino a 60 mila dollari per una singola grave vulnerabilità.
Per poter ottenere il pagamento, i ricercatori devono ovviamente seguire una specifica procedura di disclosure, comunicando a Microsoft i dettagli tecnici del bug lasciando che il gruppo abbia il tempo di correggerne gli errori senza impatto alcuno sull’utenza. La bontà del meccanismo sta in questo rapporto fiduciario tra le parti, dove a fronte di una segnalazione v’è un pagamento ed in nessun caso si riversano le conseguenze del problema sull’utenza finale.