MS, todos os destinatários de recompensas por serviços online estão incluídos… a abrangência da recompensa por vulnerabilidades foi amplamente expandida

A Microsoft(MSFT) anunciou uma expansão significativa do âmbito do seu programa de recompensas por vulnerabilidades. A partir de agora, todas as vulnerabilidades de segurança nos seus serviços online serão automaticamente incluídas na recompensa, e problemas em software de código aberto e de terceiros também serão avaliados sem exceções.

O núcleo desta mudança reside na introdução da política de “inclusão padrão”. Assim, os novos serviços online da Microsoft passam a ser objetos de recompensas por vulnerabilidades desde o momento do lançamento, e os milhões de serviços existentes podem ser considerados sem necessidade de processos adicionais de aprovação. Como não é mais necessário definir manualmente o escopo de produtos, os investigadores de segurança podem reduzir significativamente o tempo gasto na avaliação de quais vulnerabilidades são válidas.

O vice-presidente de Engenharia do Centro de Resposta de Segurança da Microsoft(MSRC) Tom Gallager enfatizou que esta expansão não é uma simples alteração administrativa, mas uma reforma estrutural. Ele afirmou: “Agora, todos os serviços estão automaticamente incluídos, permitindo que os investigadores se concentrem naquelas vulnerabilidades que realmente impactam os clientes e reportem de forma mais rápida.” Além disso, a Microsoft também planeja colaborar de forma mais proativa com investigadores para resolver ou oferecer suporte de manutenção a problemas encontrados em código de terceiros ou de código aberto.

Há muito tempo, o programa de recompensas por vulnerabilidades tem sido criticado por sua delimitação ambígua ou restrições excessivas, sendo considerado uma fonte de confusão para os investigadores e um limitador das atividades de pesquisa. A esse respeito, Martin Jatlius, diretor de produtos de inteligência artificial da empresa de segurança Outpost24, afirmou: “Esta iniciativa cobre toda a exposição de vulnerabilidades da empresa, representando um avanço importante.” Ele acolheu a medida e alertou: “Os atacantes não se preocupam com a origem do código. Seja um framework como React-to-Shell ou produtos próprios da Microsoft, se puderem ser vulneráveis, eles irão tentar.”

Especialistas do setor preveem que, inicialmente, essa medida pode aumentar o valor total pago pela Microsoft em recompensas. No entanto, análises indicam que, com a elevação do nível geral de segurança, a longo prazo, essa estratégia terá um alto custo-benefício. Ao cobrir de forma abrangente vulnerabilidades que impactam diretamente usuários e clientes corporativos, a Microsoft busca elevar a credibilidade de seu ecossistema de segurança baseado em nuvem.