Microsoft огласила вознаграждения за сообщения о найденных в IE багах

Microsoft сообщает, что выплатила больше 28 000 долларов за время проведения программы по сбору сообщений о багах, во время которой исследователи по вопросам безопасности находили лазейки в защите браузера Internet Explorer 11.

Вознаграждения за уязвимости - довольно популярный способ аутсорсинга аудита безопасности программных продуктов для компаний: исследователи, которые хотят поделиться информацией о найденных багах с разработчиками и не оглашать их публично до исправления, могут получить несколько тысяч долларов. Практика, однако, показывает и другую сторону монеты: компании, продающие информацию об уязвимостях, предлагают намного больше денег, чтобы перепродать информацию злоумышленникам, прежде чем разработчики смогут исправить дыру в защите своей программы.

Несмотря на то, что ряд конкурентов корпорации, включая Google, считают подобные вознаграждения обычной практикой, оплата информации об уязвимостях - это хорошая возможность, которую Microsoft ранее обходила стороной. В июне Microsoft сообщила, что запустит программу по выплате вознаграждений за найденные уязвимости в предварительной версии Internet Explorer 11.

Программа закончилась еще в июле, однако, Microsoft не спешила делиться результатами и о них мы узнали только сейчас: больше 28000 долларов было выплачено шестерым исследователям за нахождение и предоставление детальной информации о 15 уязвимостях браузера.

Хосе Гонзалез (Jose Gonzalez) из компании Yenteasy Security Research пополнил копилку Microsoft пятью уязвимостями, получив 5500 долл.; Джеймс Форшоу (James Forshaw) нашел 4 бага, оцененных 4400 долл. получив 5000 дополнительно за нахождение ранее неизвестной Microsoft уязвимости в интерфейсе; Масата Кинугава (Masata Kinugawa) нашел 2 уязвимости и получил 2200 долл.; Питер Врюгденхил (Peter Vregudenhil) из Exodus Intellgience нашел одну уявзимость, получив неизвестную сумму денег и также два сотрудника Google Иван Фратрик (Ivan Fratric) и Фермин Серна (Fermin Serna) нашли по багу, получив 1100 и 500 долл. соответственно. Что самое интересное, только последние двое отказались от денег, передав их в фонды Save the Children и Seattle Humane Society.

Корпорация продолжает предоставлять вознаграждения в обмен на уязвимости, найденные в определенных приложениях, обещая до 100 000 долларов за небольшой рассказ о том, как воспользоваться какой-либо дырой в безопасности Windows 8.1, а также дополнительные 50000 долларов тем, кто предоставит предложения по улучшению в плане безопасности для предотвращения таких атак. Более детальная информация доступна на сайте корпорации.


Источник: http://www.bit-tech.net
Перевод: Grim Reaper A.D.