Корпорация Microsoft объявила о запуске новой программы вознаграждений, которые смогут получить исследователи, обнаружившие уязвимости в онлайн-сервисе Xbox Live. В зависимости от серьёзности выявленных уязвимостей, размер вознаграждения может изменяться от $500 до $20 000.
В рамках новой программы исследователи смогут получить вознаграждение за обнаруженные уязвимости, связанные с межсайтовым выполнением сценариев, подделкой межсайтовых запросов, небезопасными прямыми ссылками, удалённым выполнением кода на серверной стороне и др. Например, обнаружение уязвимостей, которые могут использоваться для организации спуфинговых атак, принесёт до $5000. В случае обнаружения уязвимостей, позволяющих осуществлять удалённое выполнение кода, исследователи могут получить от $10 000 до $20 000.
Исследователи, которые захотят участвовать в новой программе Microsoft, должны будут подробно описать шаги, необходимые для эксплуатации той или иной уязвимости. Несмотря на то, что программа охватывает большое количество типов уязвимостей, на некоторые возможные типы атак она не распространяется. Уязвимости, связанные с DDoS-атаками, способами фишинга сотрудников Microsoft и пользователей сервиса, а также схемами сбора информации с серверов, не будут оплачиваться.
Новая программа вознаграждений для сервиса Xbox Live является одним из подобных проектов, которые Microsoft реализует для своих продуктов. Сумма вознаграждений также сильно отличается, но наибольшую сумму (до $300 000) Microsoft готова заплатить за самые опасные уязвимости в службах облачных вычислений сервиса Azure.