Хакеры спасают Microsoft от Microsoft — и получают миллионы
Первый Zero Day Quest собрал лучших специалистов и принёс более $1,6 млн наград.
Microsoft провела крупнейшее в своём роде соревнование по поиску уязвимостей — Zero Day Quest. Это первый живой хакерский конкурс такого масштаба, в котором приняли участие ведущие исследователи со всего мира. Участникам предложили сосредоточиться на самых актуальных и потенциально опасных сценариях для Copilot и облачных сервисов Microsoft, а общий призовой фонд мог достичь $4 миллионов.
По итогам квалификационного этапа и самого мероприятия специалисты отправили более 600 отчётов об уязвимостях. На данный момент компания уже выплатила исследователям свыше $1,6 миллиона, а часть отчётов всё ещё в процессе изучения и валидации.
На ранних этапах участники соревновались за возможность приехать на финальный тур в Редмонд, где их ждали дополнительные награды, выходящие за рамки стандартных программ bug bounty. Лучшие из них попали в число приглашённых и продолжили соревнование уже вживую, участвуя в заданиях формата "capture the flag", обсуждая найденные уязвимости с инженерами Microsoft и посещая неформальные мероприятия.
Около сотни участников также прошли обучение, включая специальные сессии по поиску уязвимостей в ИИ с командой AI Red Team, тренинг по SSRF и практические советы от команды, отвечающей за наградные программы.
На волне успеха этого первого мероприятия Microsoft объявила о двух новых инициативах. Во-первых, сохраняется повышающий множитель наград для уязвимостей в Copilot — 100%. Это означает, что исследователи, нашедшие критичные баги в ИИ-системах компании, будут получать в два раза больше стандартного вознаграждения. Во-вторых, Zero Day Quest становится ежегодным событием. Организаторы обещают новые задания, бонусы и ещё более плотное взаимодействие между исследовательским сообществом и разработчиками Microsoft.
Zero Day Quest — это часть глобальной программы поощрения ответственных сообщений об уязвимостях. В 2023 году в рамках этой инициативы Microsoft выплатила более $16 миллионов исследователям, которые помогли предотвратить реальные угрозы для пользователей. Компания продолжает следовать принципам прозрачности: все критические уязвимости получают CVE-идентификаторы, а материалы с разбором атак публикуются после устранения проблем.
Этот подход стал частью более широкой стратегии Secure Future Initiative — набора практик и стандартов, направленных на то, чтобы безопасность была встроена в продукты "по умолчанию", "на этапе проектирования" и "в ходе эксплуатации". Microsoft подчёркивает, что эти мероприятия не только усиливают защиту облака и ИИ, но и закладывают основу для более безопасного цифрового будущего в целом.