Abo
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Microsoft schüttet 16,6 Millionen US-Dollar Bug Bounty-Gelder aus

Microsoft zieht Bilanz über die Bug-Bounty-Programme im vergangenen Jahr. 16,6 Millionen US-Dollar hat das Unternehmen ausgeschüttet.

In Pocket speichern vorlesen Druckansicht 5 Kommentare lesen
Stilisiertes Bild: Laptop mit brennendem Bildschirm, Whitehat sitzt davor und zählt Geld

(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)

Lesezeit: 2 Min.
Security
Von

Microsoft hat Bilanz zu den Bug-Bounty-Programmen des Unternehmens aus den vergangenen zwölf Monaten gezogen. Demnach hat der Hersteller 16,6 Millionen US-Dollar an die Melder von Sicherheitslücken ausgezahlt.

Insgesamt hätten 343 IT-Sicherheitsforscher aus 55 Ländern eine Belohnung erhalten, die zusammen mit Microsofts Security Response Center (MSRC) für mehr Sicherheit der Kunden gesorgt haben, freut sich Microsoft in einem Blog-Beitrag. Die Bug-Bounty-Programme decken einen weiten Produktbereich ab, von Azure, Edge, M365, Dynamics 365 über Power Platform und Windows hin zur Xbox und mehr, erklären die Autoren.

Microsoft: Bug-Bounty-Programm entwickelt sich weiter

"Das Microsoft Bounty-Programm ist ein wichtiger Bestandteil unserer proaktiven Strategie, die darauf abzielt, Anreize für Forschungsprogramme zu schaffen, um die externe Forschungsgemeinschaft als Partner zu gewinnen und unsere Kunden vor Sicherheitsbedrohungen zu schützen", schreibt Microsoft. Da sich die IT-Sicherheitslandschaft und Microsofts Angriffsoberfläche wandele, geschehe das auch bei den Bug-Bounty-Programmen. Im vergangenen Jahr habe das Unternehmen daher weitere aolche Programme vorgestellt: für Microsofts AI, Identity, Microsoft 365 Insider, Defender oder zeitlich begrenzt, Secure Boot unter Windows.

Dabei weite Microsoft die Abdeckung bestehender Programme aus, um neue Produkte und Dienste zu umfassen, oder richte die Ziele zum Schutz vor bösartigen Akteuren und neuen Angriffsvektoren neu aus. Die Belohnungen für gemeldete Schwachstellen richten sich nach Schweregrad und Auswirkung auf die Sicherheit und berücksichtigen zudem die Vollständigkeit und Genauigkeit der Meldungen. Zudem richteten sie sich nach den Bereichen, die für die Kunden am wichtigsten seien. Das soll die Forschung auf die Bereiche mit den größten Bedrohungen bündeln. Für das kommende Jahr will Microsoft zudem auf die Rückmeldungen von IT-Forschern hören, um die Bug-Bounty-Programme zu verbessern.

Lesen Sie auch

Nicht nur Microsoft, sondern auch zahlreiche andere große Unternehmen setzen auf Bug-Bounty-Programme, um externe, freischaffende IT-Sicherheitsforscher zur Qualitätssicherung zu gewinnen. Etwa Google nutzt ebenfalls als "Vulnerability Reqard Program" (VRP) bezeichnete Bug Bounties dazu, die Sicherheit seiner Produkte und Dienste zu verbessern. 2023 hat das Unternehmen 10 Millionen US-Dollar an 632 Personen aus 68 Ländern für Sicherheitsmeldungen in diesem Rahmen ausgeschüttet.

(dmk)

Mehr zum Thema NEU

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten