Компания Microsoft объявила о старте программы по поиску багов в Xbox Live. Максимальное вознаграждение по программе составит $20 тысяч.
«Программа Xbox Bounty приглашает геймеров, исследователей безопасности и технологов по всему миру помочь выявить уязвимости безопасности в сети и сервисах Xbox. Награды будут присуждаться по усмотрению Microsoft в зависимости от серьезности обнаруженной уязвимости и качества представления информации о ней», — сообщают в Microsoft.
Чтобы поучаствовать в программе, любому желающему необходимо иметь учетную запись Xbox, зарегистрироваться в сервисе MSRC Submission Portal и написать об уязвимости, следуя инструкциям Microsoft. Как поясняют в Microsoft, платные аккаунты, как и консоли для поиска багов предоставляться не будут.
Описания багов должны быть чёткими и краткими. В компании отмечают, что участникам полезно будет записать видео найденной уязвимости.
«Это позволяет рассматривать заявки как можно быстрее и даёт возможность получить самые высокие награды».
Вознаграждение за найденные баги варьируется от $500 до $20 тысяч (от 31,5 тысячи до 1,2 миллиона рублей) в зависимости от соответствия описания уязвимости требованиям компании и степени её серьёзности.
«По усмотрению Microsoft возможны более высокие награды. Работы исследователей, которые предоставят материалы, не соответствующие критериям для получения вознаграждений, будут в любом случае признаны, если помогут исправить уязвимости», — поясняют в Microsoft.
Microsoft особенно заинтересована в обнаружении багов, которые ведут к удалённому исполнению кода, помогают обойти механизмы безопасности или приводят к спуфингу.
При этом, как подчеркнули в Microsoft, участники программы, которые попытаются получить доступ к конфиденциальным данным пользователей Xbox или будут использовать фишинг, будут автоматически дисквалифицированы.
Как пишет издание The Verge, bug bounty, по всей возможности, приурочена к грядущему старту продаж новой консоли Xbox Series X и запуску игрового стримингового сервиса xCloud. Новости о программе уже привлекли внимание пользователей: «Чёрт возьми, если бы эту программу запустили десять лет назад, то я уже был бы богачом». «Это круто, но сын сказал, что если я прикоснусь к его Xbox, он не будет со мной разговаривать», — пишут они.
Это не первая подобная программа Microsoft. Ранее компания предлагала до $250 тысяч за поиск уязвимостей в Windows 10. В октябре прошлого года Microsoft запустила bug bounty для ElectionGuard, ПО с открытым исходным кодом, призванного обеспечить безопасность голосования на выборах, с максимальным размером награждения в $15 тыс.
Компания Nintendo также запускала подобную программу. Максимальное вознаграждение было таким же, как у Microsoft, — $20 тысяч. Однако такую награду ещё никто не получал.
Ранее компания Google отчиталась об итогах собственной программы bug bounty в 2019 году. Выплаты за этот период стали рекордными: Google практически удвоила сумму вознаграждений за найденные уязвимости. Общий объём выплат составил $6,5 млн. В программах 2019 года поучаствовали более 460 исследователей; самое крупное вознаграждение составило $201,3 тыс. за обнаружение эксплоитов, которые смогли привести к удаленному выполнению кода на смартфоне Pixel 3.
v1000
Из эпичного-в 2014 году 5-летний ребенок обошел пароль к Xbox Live, когда ввел несколько пробелов вместо пароля во второй раз.