MS, todos os destinatários de recompensas por serviços online estão incluídos… a abrangência da recompensa por vulnerabilidades foi amplamente expandida

TechubNews · 2025-12-11T23:30:08+00:00

A Microsoft anunciou a expansão do programa de recompensas por vulnerabilidades, incluindo automaticamente todos os serviços online e softwares de código aberto na esfera de recompensas, aumentando a eficiência do trabalho dos investigadores. Essa reforma fundamental permitirá que os investigadores se concentrem mais nas vulnerabilidades que afetam os clientes, enquanto se espera que, inicialmente, aumentem os pagamentos de recompensas, mas a longo prazo, isso contribuirá para melhorar os níveis de segurança e fortalecer a confiança nos serviços em nuvem.

TechubNews

2025-12-11 23:30:08

Geração do resumo em andamento

A Microsoft(MSFT) anunciou uma expansão significativa do âmbito do seu programa de recompensas por vulnerabilidades. A partir de agora, todas as vulnerabilidades de segurança nos seus serviços online serão automaticamente incluídas na recompensa, e problemas em software de código aberto e de terceiros também serão avaliados sem exceções.

O núcleo desta mudança reside na introdução da política de “inclusão padrão”. Assim, os novos serviços online da Microsoft passam a ser objetos de recompensas por vulnerabilidades desde o momento do lançamento, e os milhões de serviços existentes podem ser considerados sem necessidade de processos adicionais de aprovação. Como não é mais necessário definir manualmente o escopo de produtos, os investigadores de segurança podem reduzir significativamente o tempo gasto na avaliação de quais vulnerabilidades são válidas.

O vice-presidente de Engenharia do Centro de Resposta de Segurança da Microsoft(MSRC) Tom Gallager enfatizou que esta expansão não é uma simples alteração administrativa, mas uma reforma estrutural. Ele afirmou: “Agora, todos os serviços estão automaticamente incluídos, permitindo que os investigadores se concentrem naquelas vulnerabilidades que realmente impactam os clientes e reportem de forma mais rápida.” Além disso, a Microsoft também planeja colaborar de forma mais proativa com investigadores para resolver ou oferecer suporte de manutenção a problemas encontrados em código de terceiros ou de código aberto.

Há muito tempo, o programa de recompensas por vulnerabilidades tem sido criticado por sua delimitação ambígua ou restrições excessivas, sendo considerado uma fonte de confusão para os investigadores e um limitador das atividades de pesquisa. A esse respeito, Martin Jatlius, diretor de produtos de inteligência artificial da empresa de segurança Outpost24, afirmou: “Esta iniciativa cobre toda a exposição de vulnerabilidades da empresa, representando um avanço importante.” Ele acolheu a medida e alertou: “Os atacantes não se preocupam com a origem do código. Seja um framework como React-to-Shell ou produtos próprios da Microsoft, se puderem ser vulneráveis, eles irão tentar.”

Especialistas do setor preveem que, inicialmente, essa medida pode aumentar o valor total pago pela Microsoft em recompensas. No entanto, análises indicam que, com a elevação do nível geral de segurança, a longo prazo, essa estratégia terá um alto custo-benefício. Ao cobrir de forma abrangente vulnerabilidades que impactam diretamente usuários e clientes corporativos, a Microsoft busca elevar a credibilidade de seu ecossistema de segurança baseado em nuvem.

Ver original

Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.