Microsoft a anunțat lansarea programului Xbox Bounty pentru jucători și cercetători în securitate cibernetică pentru a ajuta la identificarea vulnerabilităților de securitate din rețeaua și serviciile Xbox Live. Într-o postare pe blog publicată joi, compania a spus că obiectivul programului de recompensare a erorilor este „Pentru a descoperi vulnerabilități semnificative care au un impact direct și demonstrabil asupra securității clienților Microsoft”, și trimiterile calificate vor fi eligibile pentru recompense de 500 până la 20.000 USD.
Ca și în cazul majorității programelor de recompensă cu erori, vulnerabilitățile trebuie să nu fie raportate anterior și trebuie să poată fi reproduse pe cea mai recentă versiune completă a rețelei Xbox Live și a serviciilor companiei în momentul trimiterii. De asemenea, vor trebui să afecteze în mod direct securitatea utilizatorilor Xbox, ceea ce înseamnă că defectele de execuție a codului la distanță, care sunt partea de sus a heap-ului în ceea ce privește severitatea, vor câștiga recompensa maximă. Altele, cum ar fi creșterea privilegiului, ocolirea caracteristicilor de securitate și falsificarea vor câștiga recompense mai mici între 1.000 și 5.000 USD.
Vulnerabilitățile din afara domeniului de aplicare includ probleme legate de refuzul de serviciu, deoarece acest lucru va necesita cercetătorilor să efectueze teste DoS / DDoS, interferând astfel cu serviciile companiei. Compania spune, de asemenea, că divulgarea informațiilor de pe server, erori CSRF cu impact redus, preluări de subdomenii, vulnerabilități de redare a cookie-urilor, redirecționări URL de bază și orice lucru care implică atacuri de phishing sau inginerie socială împotriva angajaților sau clienților Microsoft sunt, de asemenea, neeligibile pentru recompense în temeiul program.
Programul Xbox Bounty Bounty vine la doar câteva luni după ce compania a lansat un program similar pentru browserul Edge bazat pe Chromium, cu recompense de până la 30.000 USD pentru cercetătorii în securitate cibernetică care pot găsi vulnerabilități în canalele Dev și Beta ale software-ului . Compania rulează, de asemenea, o serie de alte astfel de programe pentru Windows, Office, .NET și multe altele, dar cele mai mari recompense sunt rezervate rapoartelor de vulnerabilitate pe serviciile cloud Azure și serverele de virtualizare Hyper-V.