Microsoft ofrece recompensas de hasta $20,000 en el su nuevo programa Xbox Bug Bounty


El programa es el último que ha lanzado el gigante tecnológico que paga a los usuarios y a los investigadores de seguridad para que encuentren vulnerabilidades en sus numerosos productos.


Microsoft ofrece recompensas de hasta $ 20,000 por encontrar vulnerabilidades en su plataforma de juegos Xbox a través de su último programa de recompensas por errores presentado esta semana.

El Programa Xbox Bounty está abierto a jugadores, investigadores de seguridad y básicamente a cualquiera que pueda ayudar al gigante tecnológico a identificar vulnerabilidades de seguridad en la red y los servicios de Xbox Live y compartirlas con el equipo de Xbox, dijo Chloé Brown, gerente del programa del Centro de Respuesta de Seguridad de Microsoft. en una entrada de blog el jueves.

"Desde su lanzamiento en 2002, la red Xbox ha permitido a millones de usuarios compartir su amor común por los juegos en un servicio seguro", escribió en la publicación. "El programa de recompensas complementa nuestras inversiones existentes en desarrollo y pruebas de seguridad para descubrir y remediar vulnerabilidades que tienen un impacto directo y demostrable en la seguridad de los clientes de Xbox".

El premio mínimo para identificar un error de Xbox es de $ 500. Como siempre es el caso en sus programas de recompensas de errores, Microsoft otorgará los envíos a discreción de la compañía y pagará "en función de la gravedad y el impacto de la vulnerabilidad y la calidad del envío", de acuerdo con las pautas del programa.

Si la recepción anticipada del nuevo programa es una indicación, los investigadores agradecen la oportunidad de que se les pague por piratear la plataforma Xbox, ya que lo han estado haciendo de forma gratuita.

"Absolutamente entre en esto si quiere una investigación divertida", tuiteó Kevin Beaumont , un "aburrido de la ciberseguridad" autodenominado. Beaumont dijo que ya había lanzado un ataque de hombre en el medio en su propia Xbox One y encontró "algunos están sucediendo cosas realmente interesantes ", y agregó que" más investigación sería buena, ya que no pude encontrar nada en Google”.

Sin embargo, se debe advertir a los piratas informáticos DIY Xbox que Microsoft tiene reglas y condiciones bastante estrictas sobre qué tipo de errores de Xbox la compañía pagará a los investigadores para identificar qué tipo no se incluirá en el sistema de recompensas. La compañía también publicó una lista que describe el impacto de una vulnerabilidad versus el premio para el cual es elegible.

El tipo de vulnerabilidades que podrían causar el impacto que justificaría un premio de la compañía son: scripting de sitios cruzados (XSS); falsificación de solicitudes en sitios cruzados (CSRF); referencias a objetos directos inseguros; deserialización insegura; vulnerabilidades de inyección; ejecución de código del lado del servidor; mala configuración de seguridad significativa (cuando no es causada por el usuario); y el uso de un componente con vulnerabilidades conocidas (cuando se demuestra con una prueba de concepto funcional).

Microsoft también prohíbe una serie de acciones bajo su nuevo programa de recompensas de Xbox, que incluyen cualquier tipo de prueba DoS, realizar pruebas automatizadas de servicios que generan cantidades significativas de tráfico u obtener acceso a cualquier información que no pertenezca completamente al usuario.

"Por ejemplo, se le permite y alienta a crear un pequeño número de cuentas de prueba con el fin de demostrar y probar el acceso a cuentas cruzadas", de acuerdo con las reglas del programa. "Sin embargo, está prohibido usar una de estas cuentas para acceder a los datos de un cliente o cuenta legítimo".

El programa XBox es el último que Microsoft ofrece para reclutar al público para ayudarlo a identificar agujeros de seguridad en sus productos. La compañía ya tiene un número significativo de programas de recompensas para su amplia gama de productos, incluidos sus servicios en línea; soluciones de identidad como Azure ActiveDirectory; e hipervisor Hyper-V .

Una recompensa máxima de $ 20,000 es aproximadamente el extremo superior promedio de la escala para los diversos programas de recompensas de Microsoft. Si bien algunos de los programas de recompensas de la compañía ofrecen un máximo de $ 15,000 para identificar vulnerabilidades, varios ofrecen recompensas por cientos de miles de dólares.

La recompensa más alta posible que alguien puede ganar de Microsoft por identificar una vulnerabilidad en uno de sus productos es de $ 300,000 por encontrar un error en sus servicios en la nube de Microsoft Azure.

Fuente: ThreatPost

Publicar un comentario

0 Comentarios