Microsoft bietet bis zu $30K für Teams Bugs

Cyber Security News

Ein Bug-Bounty-Programm für die Desktop-Videokonferenz- und Kollaborationsanwendung Teams bietet hohe Belohnungen für das Finden von Sicherheitslücken.

Microsoft möchte die Botschaft vermitteln, dass es dem Unternehmen mit der Sicherheit seiner beliebten Desktop-Anwendung Teams ernst ist, und ist bereit, etwas Geld in die Hand zu nehmen. Ein neues Bug-Bounty-Programm bietet bis zu 30.000 US-Dollar für Sicherheitslücken, wobei die höchsten Auszahlungen an diejenigen gehen, die das größte Potenzial haben, Teams-Benutzerdaten preiszugeben.

“Der Teams-Desktop-Client ist die erste Anwendung im Rahmen des neuen Apps-Bounty-Programms, wir freuen uns darauf, Updates zu teilen, wenn wir weitere Apps in den Geltungsbereich des Bounty-Programms bringen”, sagte die Programm-Managerin Lynn Miyashita in ihrem Statement zum Start.

Forscher können im Rahmen des neuen Apps Bounty Program fünf szenariobasierte Prämien beanspruchen, die von 6.000 bis 30.000 US-Dollar reichen, wobei die höchsten Auszahlungen für “Schwachstellen mit den größten potenziellen Auswirkungen auf die Privatsphäre und Sicherheit der Kunden” zur Verfügung stehen, sagte das Unternehmen.

Allgemeine Kopfgelder werden zwischen $500 und $15.000 vergeben, mit anderen Anreizen: Herausragende Bug-Jäger können einen Platz in Microsofts “Researcher Recognition Program” und die Berechtigung für die jährliche MSRC Most Valuable Security Researcher Liste verdienen, erklärte Miyashita.

Sicherheitsforscher, die Online-Schwachstellen des Teams melden möchten, können diese weiterhin über das Online Services Program einreichen, heißt es in der Ankündigung weiter.

Bug-Bounty-Programme wecken Kundenvertrauen

Abgesehen davon, dass sie einen netten Zahltag für Sicherheitsforscher bieten, gibt der Schritt, ein Bug-Bounty-Programm zu veranstalten, Microsoft eine gewisse Markenunterstützung für Kunden, wenn man nach einer aktuellen Umfrage urteilt.

Die vom Ponemon Institute durchgeführte und von Intel in Auftrag gegebene Umfrage ergab, dass drei Viertel der IT-Profis, die für den Einkauf von Technik zuständig sind, es vorziehen, von Anbietern zu kaufen, die sich proaktiv um Sicherheit kümmern. Bug-Bounty-Programme sind zunehmend Teil dieses Pakets.

“Sicherheit passiert nicht einfach so”, sagte Suzy Greenberg, Vice President, Intel Product Assurance and Security, zu den Umfrageergebnissen des Poneman Institute. “Wenn man keine Schwachstellen findet, dann sucht man nicht intensiv genug.”

Sicherlich hat der Markt für Cloud-Collaboration in den letzten Monaten viele Sicherheitslücken und -verstöße gesehen, insbesondere nach den Sperrungen, als diese Dienste für den Geschäftsalltag unerlässlich wurden.

Kollaborations-App-Sicherheitssturm

Teams wurde in Phishing-Köder-Betrügereien eingesetzt, und im letzten Herbst nutzten Angreifer gefälschte Teams-Updates, um Benutzer mit Malware zu infizieren.

Der konkurrierende Cloud-Collab-Dienst Zoom hatte ebenfalls seinen Anteil an peinlichen Sicherheitsfehlern, darunter ein Vanity-URL-Zero-Day-Fehler, der im vergangenen Juli entdeckt wurde, wiederkehrende Zoom-Bombardements, Imitationsangriffe und die Zoom-Bildschirmfreigabe-Panne in diesem Monat, bei der “kurzzeitig” sensible Daten durchsickerten.

Der Start von Microsofts Bug-Bounty-Programm wird sowohl helfen, diese Fehler zu beseitigen, bevor sie in die Schlagzeilen geraten, als auch ein erneutes Engagement für proaktive Sicherheit signalisieren.

“Die Zusammenarbeit mit der Sicherheitsforschungs-Community ist ein wichtiger Teil von Microsofts ganzheitlichem Ansatz zur Abwehr von Sicherheitsbedrohungen”, schrieb Miyashita von Microsoft.

Schauen Sie sich unsere kommenden kostenlosen Live-Webinar-Events an – einzigartige, dynamische Diskussionen mit Cybersecurity-Experten und der Threatpost-Community: 21. April: Underground Markets: Ein Rundgang durch die Dark Economy (Erfahren Sie mehr und registrieren Sie sich!)

Einige Teile dieses Artikels stammen aus:
threatpost.com