Microsoft med stor ændring: Nu kan du score store kontante belønninger

Microsoft har annonceret en stor ændring i deres bug bounty-program. Fremover vil man kunne indsende rapporter om kritiske sårbarheder på tværs af alle virksomhedens produkter og tjenester – også dér, hvor der tidligere blev givet en officiel belønning.

Den nye tilgang, som kaldes ‘In Scope by Default’, blev præsenteret af Tom Gallagher, Engineering VP i Microsoft Security Response Center, under Black Hat Europe.

Gallagher forklarede, at Microsoft sidste år udbetalte 110 millioner kroner i belønninger for ‘sikkerhedsforskning med stor effekt’. Det gjaldt både sårbarheder på Microsofts egne domæner og tjenester samt i tredjepartskode, der havde betydning for Microsofts tjenester.

“Hvis en kritisk sårbarhed har en direkte og dokumenterbar indvirkning på vores tjenester, er den berettiget til en belønning,” skrev Gallagher ifølge TechRadar.

Han uddyber, at Microsoft i sidste ende ønsker at ’tilskynde til forskning inden for de områder, der udgør den største risiko’. Det omfatter ikke kun Microsofts egen kode, men også tredjeparts- og open source-kode.

For de områder, der i øjeblikket ikke er dækket af et specifikt bug bounty-program, oplyser Microsoft, at udbetalingerne vil blive vurderet ud fra sårbarhedens alvorlighed.

Det vil sige, at samme type sårbarhed vil udløse den samme belønning, uanset om den findes i Microsofts egen kode eller i eksterne systemer.

Udvidelsen af deres bug bounty-program er en stor nyhed og placerer dem et godt stykke foran Google. Google fokuserer i øjeblikket primært på kerneprodukter som Google Cloud, Android og Chrome.

Google har dog for nylig også indført AI-specifikke belønninger for Gemini, Google Search og Workspace. Disse belønninger er dog stadig opdelt i faste kategorier og er ikke så åbne som Microsofts model.

I 2024 udbetalte Google cirka 75 millioner kroner gennem sit såkaldte Vulnerability Reward Program.

Ændringerne i Microsofts bug bounty-program kommer i kølvandet på flere opdateringer i 2025. Det gælder udvidelser og justeringer af Copilot Bounty Program, Identity Bounty Program, Defender Bounty Program, M365 Bounty Program, Dynamics 365 & Power Platform Bounty Program samt Windows Bounty Program.