Microsoft только что выплатила свою первую «награду за обнаружение уязвимости» – платеж за обнаружение и сообщение о критической уязвимости в Windows 8.1 – инженеру Google за ошибку, найденную в предварительной версии Internet Explorer 11.
Сообщество безопасности с энтузиазмом отреагировало на наши новые программы вознаграждений, представив более дюжины проблем для нашего расследования всего за первые две недели с момента открытия программ. Я лично уведомил первого получателя вознаграждения по электронной почте сегодня о том, что его заявка на получение награды за обнаружение уязвимости в Internet Explorer 11 Preview подтверждена и проверена. (Перевод: Ему заплатят.)
Microsoft пока не назвала имя инженера в своем сообщении на BlueHat Blog, но PCWorld называет его Иваном Фратричем из Google…
Предложение денежных вознаграждений за сообщения об ошибках является довольно распространенным явлением, хорошо известными примерами являются Google и Facebook. Хотя предлагаемые суммы – обычно несколько тысяч – не могут конкурировать с суммами, доступными за продажу информации на черном рынке тем, кто хочет ею воспользоваться, считается, что это побуждает тех, кто никогда не продал бы информацию плохим парням, оперативно подавать отчеты. Максимальная сумма, выплачиваемая Microsoft по этой программе, составляет $11 000.
Microsoft долгое время сопротивлялась выплатам вознаграждений, утверждая, что 90 процентов уязвимостей и так сообщались компании, но теперь экспериментирует с этой идеей в небольшом масштабе.
В мае Microsoft критиковала Google за обнародование уязвимостей всего через семь дней, а не через шестьдесят, утверждая, что недели недостаточно для реагирования. Google возразила, что в случаях, когда эксплойт уже используется, срочная огласка необходима, чтобы пользователи могли защитить себя.
Google очень заинтересована в безопасности программного обеспечения Microsoft. Когда китайские хакеры взломали Google, они использовали для этого ряд уязвимостей Microsoft.
