Microsoft میزان Zero Day Quest prize pool را به ۵ میلیون دلار افزایش داد
Microsoft در مسابقه هک Zero Day Quest امسال، حداکثر تا ۵ میلیون دلار bounty awards ارائه خواهد کرد؛ رویدادی که این شرکت از آن بهعنوان «بزرگترین رویداد هک در تاریخ» یاد کرده است.
Zero Day Quest سال گذشته نیز با استقبال قابل توجهی از سوی جامعه امنیتی روبهرو شد؛ پس از آنکه Microsoft مبلغ ۴ میلیون دلار پاداش برای کشف آسیبپذیریها در محصولات و پلتفرمهای Cloud و AI تعیین کرده بود. پس از پایان مسابقه هک در نوامبر، Microsoft اعلام کرد که با دریافت بیش از ۶۰۰ گزارش آسیبپذیری، مجموعاً ۱٫۶ میلیون دلار پرداخت کرده است.
در رقابت امسال، Redmond میزان prize pool را به ۵ میلیون دلار افزایش داده و تمرکز خود را بر رفع مشکلات امنیتی در حوزه Cloud Computing و Artificial Intelligence قرار داده است. بین ۴ آگوست تا ۴ اکتبر ۲۰۲۵، Microsoft گزارشها را در قالب یک research challenge که برای همه security researchers باز است، خواهد پذیرفت. شرکتکنندگان همچنین در صورت گزارش آسیبپذیریهای Critical واجد شرایط دریافت bounty payouts چندبرابری خواهند بود.
Microsoft اعلام کرد: «برای شناسایی و پاداش به تحقیقات با بیشترین تأثیر، ما +۵۰% bounty multiplier برای آسیبپذیریهای با شدت Critical و سناریوهای با تأثیر بالا که در طول Research Challenge و در راستای Microsoft Azure، Copilot، Dynamics 365 و Power Platform، Identity یا M365 Bounty Programs کشف شدهاند، ارائه میدهیم. اگر گزارش شما همزمان واجد شرایط general و high-impact multipliers باشد، بالاترین مقدار اعمال میشود.»
Top-performing researchers واجد شرایط حضور در یک رویداد live hacking در Microsoft Redmond campus در بهار ۲۰۲۶ خواهند شد. این رقابت صرفاً با دعوت برگزار شده و leading security researchers را برای همکاری مستقیم با Microsoft Security Response Center (MSRC) و تیمهای محصول Microsoft گرد هم خواهد آورد.
این شرکت همچنین برنامه دارد تا با برگزاری جلسات آموزشی توسط AI Red Team، MSRC و تیم Dynamics شامل AI system testing، bug bounty programs و روششناسیهای تحقیقات امنیتی، از شرکتکنندگان پشتیبانی کند.
این مسابقه بخشی از Secure Future Initiative (SFI) است؛ یک برنامه مهندسی امنیت سایبری که در نوامبر ۲۰۲۳ و پس از انتشار گزارشی از Cyber Safety Review Board وابسته به U.S. Department of Homeland Security راهاندازی شد. این گزارش بیان کرده بود که فرهنگ امنیتی Microsoft «ناکافی بوده و نیاز به بازنگری اساسی دارد».
Microsoft افزود: «بهعنوان بخشی از Secure Future Initiative (SFI)، ما آسیبپذیریهای حیاتی را بهصورت شفاف از طریق CVE program منتشر خواهیم کرد، حتی اگر هیچ اقدام مستقیمی از سوی مشتریان لازم نباشد. یافتههای Zero Day Quest در سراسر Microsoft به اشتراک گذاشته خواهد شد تا امنیت Cloud و AI را بر اساس اصول اصلی SFI شامل securing by default, by design, and in operations ارتقا دهیم.»
همچنین روز جمعه، Microsoft اعلام کرد که پاداش کشف برخی آسیبپذیریهای .NET و ASP.NET Core را به ۴۰ هزار دلار افزایش داده و .NET bug bounty program را گسترش داده است.
اوایل امسال نیز این شرکت افزایش bounty awards تا سقف ۳۰ هزار دلار برای آسیبپذیریهای Power Platform و Dynamics 365 AI و همچنین پاداشهای بالاتر برای نقصهای امنیتی Microsoft Copilot (AI) با شدت متوسط را اعلام کرده بود. علاوه بر این، یک ۱۰۰% award multiplier برای تمام Copilot bounty awards جهت تشویق به تحقیقات حوزه AI معرفی شد.