Microsoft میزان Zero Day Quest prize pool را به ۵ میلیون دلار افزایش داد

Microsoft در مسابقه هک Zero Day Quest امسال، حداکثر تا ۵ میلیون دلار bounty awards ارائه خواهد کرد؛ رویدادی که این شرکت از آن به‌عنوان «بزرگ‌ترین رویداد هک در تاریخ» یاد کرده است.

Zero Day Quest سال گذشته نیز با استقبال قابل توجهی از سوی جامعه امنیتی روبه‌رو شد؛ پس از آنکه Microsoft مبلغ ۴ میلیون دلار پاداش برای کشف آسیب‌پذیری‌ها در محصولات و پلتفرم‌های Cloud و AI تعیین کرده بود. پس از پایان مسابقه هک در نوامبر، Microsoft اعلام کرد که با دریافت بیش از ۶۰۰ گزارش آسیب‌پذیری، مجموعاً ۱٫۶ میلیون دلار پرداخت کرده است.

در رقابت امسال، Redmond میزان prize pool را به ۵ میلیون دلار افزایش داده و تمرکز خود را بر رفع مشکلات امنیتی در حوزه Cloud Computing و Artificial Intelligence قرار داده است. بین ۴ آگوست تا ۴ اکتبر ۲۰۲۵، Microsoft گزارش‌ها را در قالب یک research challenge که برای همه security researchers باز است، خواهد پذیرفت. شرکت‌کنندگان همچنین در صورت گزارش آسیب‌پذیری‌های Critical واجد شرایط دریافت bounty payouts چندبرابری خواهند بود.

Microsoft اعلام کرد: «برای شناسایی و پاداش به تحقیقات با بیشترین تأثیر، ما +۵۰% bounty multiplier برای آسیب‌پذیری‌های با شدت Critical و سناریوهای با تأثیر بالا که در طول Research Challenge و در راستای Microsoft Azure، Copilot، Dynamics 365 و Power Platform، Identity یا M365 Bounty Programs کشف شده‌اند، ارائه می‌دهیم. اگر گزارش شما همزمان واجد شرایط general و high-impact multipliers باشد، بالاترین مقدار اعمال می‌شود.»

Top-performing researchers واجد شرایط حضور در یک رویداد live hacking در Microsoft Redmond campus در بهار ۲۰۲۶ خواهند شد. این رقابت صرفاً با دعوت برگزار شده و leading security researchers را برای همکاری مستقیم با Microsoft Security Response Center (MSRC) و تیم‌های محصول Microsoft گرد هم خواهد آورد.

این شرکت همچنین برنامه دارد تا با برگزاری جلسات آموزشی توسط AI Red Team، MSRC و تیم Dynamics شامل AI system testing، bug bounty programs و روش‌شناسی‌های تحقیقات امنیتی، از شرکت‌کنندگان پشتیبانی کند.

این مسابقه بخشی از Secure Future Initiative (SFI) است؛ یک برنامه مهندسی امنیت سایبری که در نوامبر ۲۰۲۳ و پس از انتشار گزارشی از Cyber Safety Review Board وابسته به U.S. Department of Homeland Security راه‌اندازی شد. این گزارش بیان کرده بود که فرهنگ امنیتی Microsoft «ناکافی بوده و نیاز به بازنگری اساسی دارد».

Microsoft افزود: «به‌عنوان بخشی از Secure Future Initiative (SFI)، ما آسیب‌پذیری‌های حیاتی را به‌صورت شفاف از طریق CVE program منتشر خواهیم کرد، حتی اگر هیچ اقدام مستقیمی از سوی مشتریان لازم نباشد. یافته‌های Zero Day Quest در سراسر Microsoft به اشتراک گذاشته خواهد شد تا امنیت Cloud و AI را بر اساس اصول اصلی SFI شامل securing by default, by design, and in operations ارتقا دهیم.»

همچنین روز جمعه، Microsoft اعلام کرد که پاداش کشف برخی آسیب‌پذیری‌های .NET و ASP.NET Core را به ۴۰ هزار دلار افزایش داده و .NET bug bounty program را گسترش داده است.

اوایل امسال نیز این شرکت افزایش bounty awards تا سقف ۳۰ هزار دلار برای آسیب‌پذیری‌های Power Platform و Dynamics 365 AI و همچنین پاداش‌های بالاتر برای نقص‌های امنیتی Microsoft Copilot (AI) با شدت متوسط را اعلام کرده بود. علاوه بر این، یک ۱۰۰% award multiplier برای تمام Copilot bounty awards جهت تشویق به تحقیقات حوزه AI معرفی شد.