Gadgetshowto
Microsoft ha anunciado el lanzamiento del Programa Xbox Bounty para jugadores e investigadores de ciberseguridad para ayudar a identificar vulnerabilidades de seguridad en la red y los servicios de Xbox Live. En una publicación de blog publicada el jueves, la compañía dijo que el objetivo del programa de recompensas por errores es "Para descubrir vulnerabilidades importantes que tienen un impacto directo y demostrable en la seguridad de los clientes de Microsoft", y las presentaciones calificadas serán elegibles para recompensas de recompensa de $ 500 a $ 20,000.
Al igual que con la mayoría de los programas de recompensas por errores, las vulnerabilidades deben no informarse previamente y deben ser reproducibles en la última versión completamente parcheada de la red y los servicios de Xbox Live de la compañía en el momento del envío. También tendrán que afectar directamente la seguridad de los usuarios de Xbox, lo que significa que las fallas de ejecución remota de código que son la parte superior del montón en términos de gravedad, obtendrán la recompensa máxima. Otros, como la elevación de privilegios, la omisión de funciones de seguridad y la suplantación de identidad, obtendrán recompensas más pequeñas entre $ 1,000 y $ 5,000.
Las vulnerabilidades fuera del alcance incluyen problemas de denegación de servicio porque requerirán que los investigadores realicen pruebas DoS / DDoS, lo que interfiere con los servicios de la empresa. La compañía también dice que la divulgación de información del lado del servidor, errores CSRF de bajo impacto, adquisiciones de subdominios, vulnerabilidades de reproducción de cookies, redireccionamientos básicos de URL y cualquier cosa que involucre phishing o ataques de ingeniería social contra empleados o clientes de Microsoft tampoco son elegibles para recompensas bajo la programa.
El programa de recompensas por errores de Xbox se produce solo unos meses después de que la compañía lanzó un programa similar para su navegador Edge basado en Chromium, con recompensas de hasta $ 30,000 para los investigadores de seguridad cibernética que pueden encontrar vulnerabilidades en los canales Dev y Beta del software. . La compañía también ejecuta varios otros programas de este tipo para Windows, Office, .NET y más, pero las recompensas más altas están reservadas para los informes de vulnerabilidad en los servicios en la nube de Azure y los servidores de virtualización de Hyper-V.
