Исследователи обвинили Microsoft в уменьшении сумм bug bounty
29/11/21
Целый ряд исследователей безопасности обвинили Microsoft в уменьшении сумм вознаграждения, которые компания выплачивает за сообщения об уязвимостях в рамках своей программы bug bounty. Судя по всему, в некоторых случаях техногигант уменьшил вознаграждение в десять раз или на 90%.
Еще в прошлом году исследователь Маркус Хатчинс (Marcus Hutchins), также известный как MalwareTech, сообщил в Twitter, что за обнаруженную уязвимость получил от компании всего $1 тыс., хотя раньше сумма вознаграждения за такие уязвимости составляла $10 тыс.
Другие исследователи публикуют такие же жалобы. К примеру, как недавно сообщил исследователь безопасности системы виртуализации Hyper-V под псевдонимом rthhh17, Microsoft оценила его уязвимость, которую можно проэксплуатировать с гостевой машины, всего в $5 тыс.
Самый последний пример недовольного исследователя - Абдельхамид Насери, опубликовавший PoC-код для еще неисправленной уязвимости в Windows в отместку Microsoft за снижение суммы вознаграждения.