Microsoft schĂĽttet 16,6 Millionen US-Dollar Bug Bounty-Gelder aus
Microsoft zieht Bilanz ĂĽber die Bug-Bounty-Programme im vergangenen Jahr. 16,6 Millionen US-Dollar hat das Unternehmen ausgeschĂĽttet.
Microsoft hat Bilanz zu den Bug-Bounty-Programmen des Unternehmens aus den vergangenen zwölf Monaten gezogen. Demnach hat der Hersteller 16,6 Millionen US-Dollar an die Melder von Sicherheitslücken ausgezahlt.
Insgesamt hätten 343 IT-Sicherheitsforscher aus 55 Ländern eine Belohnung erhalten, die zusammen mit Microsofts Security Response Center (MSRC) für mehr Sicherheit der Kunden gesorgt haben, freut sich Microsoft in einem Blog-Beitrag. Die Bug-Bounty-Programme decken einen weiten Produktbereich ab, von Azure, Edge, M365, Dynamics 365 über Power Platform und Windows hin zur Xbox und mehr, erklären die Autoren.
Microsoft: Bug-Bounty-Programm entwickelt sich weiter
"Das Microsoft Bounty-Programm ist ein wichtiger Bestandteil unserer proaktiven Strategie, die darauf abzielt, Anreize für Forschungsprogramme zu schaffen, um die externe Forschungsgemeinschaft als Partner zu gewinnen und unsere Kunden vor Sicherheitsbedrohungen zu schützen", schreibt Microsoft. Da sich die IT-Sicherheitslandschaft und Microsofts Angriffsoberfläche wandele, geschehe das auch bei den Bug-Bounty-Programmen. Im vergangenen Jahr habe das Unternehmen daher weitere aolche Programme vorgestellt: für Microsofts AI, Identity, Microsoft 365 Insider, Defender oder zeitlich begrenzt, Secure Boot unter Windows.
Dabei weite Microsoft die Abdeckung bestehender Programme aus, um neue Produkte und Dienste zu umfassen, oder richte die Ziele zum Schutz vor bösartigen Akteuren und neuen Angriffsvektoren neu aus. Die Belohnungen für gemeldete Schwachstellen richten sich nach Schweregrad und Auswirkung auf die Sicherheit und berücksichtigen zudem die Vollständigkeit und Genauigkeit der Meldungen. Zudem richteten sie sich nach den Bereichen, die für die Kunden am wichtigsten seien. Das soll die Forschung auf die Bereiche mit den größten Bedrohungen bündeln. Für das kommende Jahr will Microsoft zudem auf die Rückmeldungen von IT-Forschern hören, um die Bug-Bounty-Programme zu verbessern.
Lesen Sie auch
Googles Bug Bounty zahlt 2023 zehn Millionen Dollar aus
Nicht nur Microsoft, sondern auch zahlreiche andere große Unternehmen setzen auf Bug-Bounty-Programme, um externe, freischaffende IT-Sicherheitsforscher zur Qualitätssicherung zu gewinnen. Etwa Google nutzt ebenfalls als "Vulnerability Reqard Program" (VRP) bezeichnete Bug Bounties dazu, die Sicherheit seiner Produkte und Dienste zu verbessern. 2023 hat das Unternehmen 10 Millionen US-Dollar an 632 Personen aus 68 Ländern für Sicherheitsmeldungen in diesem Rahmen ausgeschüttet.
(dmk)