En la industria del software no es raro que las compañías creen programas para recompensar por informar de fallos de seguridad en sus productos. Es una buena forma de que no terminen en ese mercado gris de venta de bugs y exploits que pongan en riesgo nuestros ordenadores, como es el caso de Vupen que ya ha vendido algún que otro fallo de Windows 8 al mejor postor.
Ofrecer una recompensa de hasta 100.000 dólares por encontrar estos fallos que se encuentren en Windows 8.1 es una buena manera de reforzar la confianza de los usuarios en Windows (y evitarse bochornosos fallos de seguridad), y más en estos momentos en la que la venta de PCs está a la baja y la cuota de mercado de OS X y Linux sube constantemente.
En el caso de Internet Explorer 11, la recompensa será de hasta 11.000 dólares, y sólo estará disponible durante el primer mes tras la aparición de la preview de Windows 8.1. En ambos casos, lo anecdótico es que se tratan de versiones beta, algo que no es habitual, ya que incluso Google no ofrece las recompensas por encontrar fallos estas versiones de evaluación.
- Mitigation Bypass Bounty – Microsoft will pay up to $100,000 USD for truly novel exploitation techniques against protections built into the latest version of our operating system (Windows 8.1 Preview). Learning about new exploitation techniques earlier helps Microsoft improve security by leaps, instead of one vulnerability at a time. This is an ongoing program and not tied to any event or contest.
- BlueHat Bonus for Defense – Microsoft will pay up to $50,000 USD for defensive ideas that accompany a qualifying Mitigation Bypass Bounty submission. Doing so highlights our continued support of defense and provides a way for the research community to help protect over a billion computer systems worldwide from vulnerabilities that may not have even been discovered.
- IE11 Preview Bug Bounty – Microsoft will pay up to $11,000 USD for critical vulnerabilities that affect IE 11 Preview on Windows 8.1 Preview. The entry period for this program will be the first 30 days of the IE 11 Preview period. Learning about critical vulnerabilities in IE as early as possible during the public preview will help Microsoft deliver the most secure version of IE to our customers.