Os primeiros programas de recompensas por bugs foram lançados pela Big Tech em 2013, quando aceitava relatos de técnicas de exploração no Windows 8.1 e falhas na versão prévia do Internet Explorer 11.
Inicialmente, a empresa recebia anualmente menos de cem relatórios, realizados por poucas dezenas de investigadores participantes. Na altura, a Microsoft pagava algumas centenas de dólares em recompensas por ano.
Atualmente, a Microsoft tem 17 programas de recompensa de bugs que abrangem Azure, Edge, Microsoft 365, Windows, Xbox e muito mais. As recompensas vão até 250 mil dólares, um valor oferecido para bugs de alto impacto no hipervisor Hyper-V.
Milhares de investigadores de segurança, provenientes de 70 países, estão a ser recompensados pela descoberta e report de bugs, de acordo com a empresa. Participam também nestes programas estudantes, académicos e profissionais de cibersegurança a tempo integral.
Do total de 63 milhões de dólares distribuídos desde 2013, 60 milhões foram pagos nos últimos cinco anos, revela a Microsoft. A partir de 2020, a empresa tem distribuído mais de 13 milhões de dólares por ano para cerca de 300 investigadores.
“Os dados dos programas são uma parte crítica para equipar as equipas de produtos e segurança em toda a empresa para fornecer melhorias e mitigações de segurança mais amplas, além de correções pontuais de bugs”, afirma a Microsoft.
Desde 2013, a Microsoft já alterou diversas vezes as suas políticas de recompensas por bugs, de forma a oferecer pagamentos mesmo para bugs que já haviam sido descobertos internamente e para clarificar para os investigadores quais são os reports de vulnerabilidades elegíveis.
“Hoje, incentivos e parcerias estão incluídos no programa de divulgação de vulnerabilidades da nossa empresa”, acrescenta. “Cada relatório que é tirado, avaliado e corrigido é revisto quanto à potencial elegibilidade para recompensas. Não há necessidade de registo, não há necessidade de inscrição, todos estão convidados”.