Af Eskil Sørensen, 04/02/20
I et forsøg på at komme udnyttelse af sårbarheder i forkøbet har Microsoft lanceret et bonusprogram, der har til formål at belønne sikkerhedsfolk, gamers og andre interesserede, der finder sårbarheder i Xbox Live network og services.
Det store kapløb
Når der kommer nye versioner af produkter og software, går den store konkurrence i gang. Hvem finder sårbarhederne først, og hvad er fundet værd? Udnyttelse af sårbarheder i software er big business for kriminelle, der bruger de nyfundne veje ind til data til at kompromittere det, sælge videre osv. Derfor er det vigtigt at være den første til at udnytte sårbarhederne. Jo mere unik vare, jo højere pris.
Viden om sårbarheder har således en høj værdi, og det er alle softwareproducenter naturligvis klar over. Derfor betaler de gerne store penge for at få den viden, før den bliver solgt til det illegale marked, som kan udnytte den til kriminelle formål. Et Bug Bounty-program kan derfor også ses som en vej til at få lokket kriminelle hacker-typer over på den rigtige side af stregen.
Xbox Bug Bounty
Hvis man kan identificere hidtil uopdagede sårbarheder i den senest opdaterede version af Xbox Live network services, er man berettiget til at modtage ”Bug Bounty Reward”. Det fremgår af netmediet gbhackers.com. Men det er ikke nok at finde den. Man skal også lave en udførlig beskrivelse i video eller tekst af de skridt, der skal til for at finde sårbarheden og derefter sende den til Microsoft. Jo før, man fremsender sin beskrivelse, og Microsoft kan genskabe fundet, jo højere bliver belønningen.
Målet med programmet er at afdække hidtil uopdagede sårbarheder, som har en ’direkte og demonstrerbar’ betydning for sikkerheden for Microsofts kunder.
Også mange andre producenter har Bug Bounty-programmer, hvor opdagelsen af sårbarheder belønnes.
Links:
https://gbhackers-com.cdn.ampproject.org/c/s/gbhackers.com/xbox-bounty-program/amp/