В некоторых случаях техногигант уменьшил вознаграждение в десять раз или на 90%.
Целый ряд исследователей безопасности обвинили Microsoft в уменьшении сумм вознаграждения, которые компания выплачивает за сообщения об уязвимостях в рамках своей программы bug bounty. Судя по всему, в некоторых случаях техногигант уменьшил вознаграждение в десять раз или на 90%.
Еще в прошлом году исследователь Маркус Хатчинс (Marcus Hutchins), также известный как MalwareTech, сообщил в Twitter, что за обнаруженную уязвимость получил от компании всего $1 тыс., хотя раньше сумма вознаграждения за такие уязвимости составляла $10 тыс.
Другие исследователи публикуют такие же жалобы. К примеру, как недавно сообщил исследователь безопасности системы виртуализации Hyper-V под псевдонимом rthhh17, Microsoft оценила его уязвимость, которую можно проэксплуатировать с гостевой машины, всего в $5 тыс.
Самый последний пример недовольного исследователя - Абдельхамид Насери, опубликовавший PoC-код для еще неисправленной уязвимости в Windows в отместку Microsoft за снижение суммы вознаграждения.
В настоящее время расценки bug bounty следующие:
Примечательно, что, хотя rthhh получил за свою уязвимость удаленного выполнения кода в Hyper-V всего $5 тыс., согласно сайту Microsoft, подобные уязвимости оцениваются "до $250 тыс." Другими словами, компания снизила сумму вознаграждения на 80%.
Никаких овечек — только отборные научные факты