Microsoft ha pagado un total de 13,7 millones de dólares (11,3 millones de libras esterlinas, 13,3 millones de euros) en recompensas por errores en los últimos 12 meses, con 330 investigadores de 46 países reconocidos por su ayuda en el descubrimiento e informe de un total de 1091 vulnerabilidades válidas en los productos de Redmond. en 17 programas diferentes de recompensas por errores.
Las vulnerabilidades en los productos de Microsoft son particularmente valiosas para los actores de amenazas debido a la naturaleza omnipresente de sus productos en la empresa moderna: Microsoft con frecuencia se encuentra lidiando con incidentes de alto perfil como PrintNightmare o ProxyLogon, y su publicación mensual Patch Tuesday es una visita obligada. Evento para profesionales de la seguridad.
Sobre esta base, las recompensas por errores pagadas por Microsoft tienden a ser más altas, con un pago promedio realizado a través de su programa de $ 12,000, sustancialmente por encima del promedio general de $ 3,000, según lo informado por el especialista en recompensas por errores HackerOne.
El pago más grande realizado por Microsoft en el último año fue de 200.000 dólares en el marco del programa Hyper-V, por una vulnerabilidad no revelada.
Desglosados por geografía, los datos de Microsoft revelan que la mayoría de los hackers éticos que trabajan a través de sus programas se encuentran en China, India y EE. UU., por delante de Australia, Canadá, Alemania y el Reino Unido.
Lynne Miyashita y Madeline Eckert de Microsoft escribieron: “Creemos que las asociaciones con la comunidad de investigación de seguridad global son una parte esencial para proteger a los clientes, y continuaremos invirtiendo y desarrollando nuestros programas de recompensas como parte del fortalecimiento de estas asociaciones. Gracias a todos los investigadores que compartieron su investigación con Microsoft este año para ayudar a asegurar millones de clientes de Microsoft”.
El año pasado, Microsoft se centró en la evolución de sus programas y asociaciones en respuesta al cambiante panorama de amenazas, agregaron, particularmente en lo que se refiere a productos y servicios basados en la nube. “Un elemento clave de este proceso de maduración es escuchar los comentarios de los investigadores para eliminar las barreras de entrada y facilitar mejor los esfuerzos de investigación”, dijeron.
“Este año, presentamos un desafío de investigación y nuevos escenarios de ataque de alto impacto en muchos de nuestros programas para premiar la investigación centrada en las áreas más críticas para la seguridad del cliente.
“La adición de estos escenarios de ataque a nuestros programas de recompensas de Azure, Dynamics 365 y Power Platform y M365 ayuda a centrar la investigación en las vulnerabilidades de la nube de mayor impacto, incluidas áreas como Azure Synapse Analytics, Key Vault y Azure Kubernetes Services”.
Mientras tanto, el trabajo valioso y de alto impacto de los piratas informáticos éticos se exhibió esta semana en Black Hat USA en Las Vegas, donde el especialista en errores de colaboración colectiva Bugcrowd realizó su primer evento de piratería en vivo en persona desde que comenzó la pandemia de Covid-19, en nombre de Indeed.com, una plataforma de búsqueda de empleo.
Vegas Bug Bash de Bugcrowd conectó Indeed.com con piratas informáticos éticos para probar sus superficies de ataque y aplicaciones móviles críticas para el negocio, descubriendo puntos ciegos de seguridad potencialmente peligrosos y mejorando las metodologías de prueba al mismo tiempo.
Indeed es cliente de Bugcrowd desde hace mucho tiempo y ya ha recompensado más de 1500 envíos válidos de vulnerabilidades. El director de seguridad de la información (CISO) de la empresa, Anthony Moisant, dijo: “En Indeed, tanto los buscadores de empleo como los empleadores confían en nosotros para proteger su información. A medida que continuamos con un rápido crecimiento y desarrollo de productos, todos sabemos que los malos actores continúan avanzando en sus tácticas.
“Al involucrar a los investigadores de Bugcrowd en este Bug Bash, nos estamos asociando con buenos actores para ayudar a detectar y corregir vulnerabilidades para ayudar a las personas a conseguir trabajo de forma segura”.
“Estamos entusiasmados con este último Bug Bash porque trabajar en equipo muestra el poder del ingenio humano, y queremos felicitar a Indeed por ser una empresa que prioriza la seguridad y busca garantizar aún más que sus activos digitales estén seguros”, dijo Ashish Gupta, CEO de Bugcrowd. .
“Con la creciente digitalización de la información y los activos, y el aumento resultante de las amenazas cibernéticas, los líderes empresariales deben adoptar prácticas de prueba continuas que se alineen con su innovación continua”.
