Programas de recompensas para caçadores de bugs estão comuns em empresas de tecnologia, e a Microsoft acaba de anunciar mais um. O Windows Bounty Program quer incentivar pesquisadores de segurança a encontrarem falhas no Windows (inclusive nas versões de teste do Programa Windows Insider) e oferece entre US$ 500 e 250.000 em dinheiro.
O Windows Bounty Program abrange o Windows 10, o Windows Server 2012 (e R2) e suas respectivas versões Insider (no ciclo lento). Diz a Microsoft: “qualquer falha crítica ou importante de execução remota de código, elevação de privilégio ou design que comprometa a privacidade e segurança do consumidor receberá uma recompensa”.
O valor da recompensa depende da gravidade da falha e do produto. O Hyper-V é o mais crítico, com recompensas que começam em US$ 5.000 e podem chegar a US$ 250.000 se você encontrar uma vulnerabilidade que permita execução remota de código e mostre um exploit funcional que possa afetar o Hypervisor e o kernel do hospedeiro, de acordo com esta tabela.
Outros softwares também estão no programa: uma brecha de execução remota de código no Microsoft Edge pode gerar até US$ 15.000. E as recompensas para vulnerabilidades no Windows Defender Application Guard variam entre US$ 500 e 30.000 nas compilações do Programa Windows Insider.
Você pode conferir todas as regras (e recompensas) do Windows Bounty Program nesta página.