Microsoft ha annunciato il lancio di un programma ufficiale di bug bounty per Xbox per migliorare la rete e i servizi della piattaforma di gioco. Il colosso del software ha dichiarato che pagherà tra i 500 ei 20,000 euro per le vulnerabilità scoperte nel servizio online Xbox Live della piattaforma. Mentre i ricercatori di sicurezza generalmente hanno più da guadagnare dai programmi bug bounty, Microsoft ha affermato che chiunque, indipendentemente dalla propria posizione, può segnalare vulnerabilità al suo nuovo programma. In un post sul blog che annuncia il programma Xbox Bounty, il program manager del Microsoft Security Response Center (MSRC), Chloé Brown ha spiegato che per essere ammissibili, le iscrizioni richiederanno una prova di concetto (POC) facilmente comprensibile, affermando: "Il programma Xbox Rewards invita i giocatori, i ricercatori sulla sicurezza e gli esperti di tecnologia di tutto il mondo a contribuire a identificare le vulnerabilità della sicurezza nella rete e nei servizi Xbox e a condividerle con il team Microsoft Xbox tramite la divulgazione coordinata delle vulnerabilità (CVD). Presentazioni idonee con una prova di concetto chiara e concisa (POC) hanno diritto a premi fino a € 20,000 USD."
Programma premi Xbox
L'ultima correzione di bug di Microsoft riguarderà l'infrastruttura back-end cloud di Xbox Live e le vulnerabilità che consentono l'esecuzione di codice in modalità remota avranno i pagamenti più alti, fino a € 20,000. L’aumento delle vulnerabilità dei privilegi può fruttare ai ricercatori di sicurezza fino a 8,000 euro, e le vulnerabilità che consentono a un utente di aggirare le funzionalità di sicurezza valgono 5,000 euro. Anche il nuovo programma Xbox Bounty presenta alcune restrizioni. Ad esempio, Microsoft bannerà e squalificherà automaticamente chiunque tenti di phishing o di social engineering su utenti e ingegneri Xbox durante il controllo dei bug, così come chiunque si muova lateralmente all'interno della rete Xbox oltre quanto necessario per dimostrare l'impatto di una vulnerabilità. Le regole del programma vietano inoltre il download o l'accesso ai dati sensibili degli utenti Xbox. La piattaforma Xbox è stata annunciata per la prima volta all'E3 prima del lancio nell'ottobre 2012. Un anno dopo, Microsoft ha creato il suo primo programma di correzione dei bug, ma sono stati applicati solo Windows e altri software aziendali. Il programma Xbox Bounty è una vittoria per Microsoft e per i consumatori che potranno beneficiare di un'esperienza online più fluida e sicura mentre giocano sulle console aziendali. Tramite ZDNet