Microsoft: kwetsbaarheid in online diensten is 'In Scope by Default'

Met deze stap wil Microsoft de focus van beveiligingsonderzoekers verschuiven naar de risicogebieden die aanvallers het meest waarschijnlijk zullen uitbuiten, ongeacht wie de code bezit of beheert.

Beloning voor derde partijen en Open Source

Het nieuwe beleid is een directe reactie op de 'AI- en cloud-first'-wereld, waarin beveiligingslekken vaak ontstaan op de raakvlakken tussen verschillende componenten en afhankelijkheden.

Voorheen hadden de Microsoft Bug Bounty-programma's een strikt omschreven toepassingsgebied. Nu wordt dit uitgebreid. Zelfs als een kwetsbaarheid wordt gevonden in code van een derde partij of in een open-source component – mits deze een impact heeft op de online diensten van Microsoft – zal het bedrijf de vinder belonen.

"Als onze online diensten worden beïnvloed door kwetsbaarheden in code van derden, inclusief open source, willen we dat weten," aldus Tom Gallagher, VP Engineering van het Microsoft Security Response Center (MSRC). "Als er formeel geen bounty-programma bestaat om dit essentiële werk te belonen, zullen wij er een aanbieden."

De lat hoger leggen

De wijziging geeft meer duidelijkheid aan beveiligingsonderzoekers en moedigt hen aan om te denken als een aanvaller, die zich niet beperkt tot specifieke producten. Nieuwe diensten zullen bovendien automatisch 'in scope' zijn zodra ze worden gelanceerd.

Vorig jaar heeft Microsoft via zijn bug bounty-programma en live-hacking-evenementen al meer dan $17 miljoen uitgekeerd. Met de invoering van 'In Scope by Default' verwacht Microsoft de drempel voor de beveiliging van zijn klanten verder te verhogen.

Microsoft benadrukt dat onderzoekers zich moeten houden aan de vastgestelde 'Rules of Engagement for Responsible Security Research' om de privacy en gegevens van klanten te allen tijde te beschermen.