Por ejemplo, el año pasado Marcus Hutchins (también conocido como MalwareTech en Twitter) dijo que la recompensa por error por una de sus conclusiones de día cero se redujo a $ 1,000, por debajo de los $ 10,000 anteriores.
Bajo el nuevo programa de recompensas por errores de Microsoft, uno de mis días cero pasó de $ 10,000 a $ 1,000.
Algunos otros también comparten sentimientos similares. Por ejemplo, el investigador de Hyper-V y usuario de Twitter @ rthhh17 declaró recientemente que el programa de recompensas de Microsoft estima que su vulnerabilidad de ejecución remota de código de Hyper-V (RCE) es de solo $ 5,000. Según su tweet, la recompensa se ha reducido de quizás una cantidad mucho mayor en el proceso de investigación. Volveremos a esto al final del artículo.
¡TEN CUIDADO! ¡Microsoft reducirá su recompensa en cualquier momento! Esta es una vulnerabilidad de Hyper-V RCE que se puede activar desde una máquina invitada, pero es elegible para una recompensa de $ 5,000 del programa de recompensas de Windows Insider Preview. ¡Injusto!
Y finalmente, el ejemplo más reciente es el investigador de seguridad de Windows Abdelhamid Naseri, quien supuestamente le dijo a BleepingComputer que reveló públicamente un nuevo error de día cero por completa frustración.
Cuando BleepingComputer le preguntó a Naseri por qué reveló públicamente la vulnerabilidad de día cero, nos dijeron que lo hizo por frustración con el programa de pago de recompensas decreciente de Microsoft.
«La recompensa de Microsoft ha sido cancelada desde abril de 2020, realmente no lo habría hecho si MSFT no hubiera decidido reducir esas primas», explicó Naseri.
Microsoft enumera los siguientes premios (haga clic en las imágenes a continuación para ampliar) en su página Microsoft Bug Bounty:
Curiosamente, mientras que el investigador de Hyper-V @rthhh afirma que su descubrimiento de una vulnerabilidad de RCE se consideró digno de una recompensa de $ 5,000, el sitio web de Microsoft afirma que dicha entrada es digna de una recompensa de «hasta $ 250,000» (imagen en el medio de arriba ). Visto desde la perspectiva de un investigador, esto significaría una disminución del 80% en las recompensas en el peor de los casos.
vía BleepingComputer
Deja una respuesta