Microsoft har annonceret lanceringen af Xbox Bounty-programmet til gamere og cybersikkerhedsforskere for at hjælpe med at identificere sikkerhedssårbarheder i Xbox Live-netværket og -tjenesterne. I et blogindlæg, der blev offentliggjort torsdag, sagde virksomheden, at målet med bug bounty-programmet er “At afdække betydelige sårbarheder, der har en direkte og påviselig indvirkning på Microsofts kunders sikkerhed”, og kvalificerede indsendelser er berettigede til belønninger på $ 500 til $ 20.000.
Som med de fleste bug-bounty-programmer skal sårbarhederne tidligere ikke rapporteres og skal kunne reproduceres i den nyeste, fuldt patchede version af virksomhedens Xbox Live-netværk og -tjenester på indsendelsestidspunktet. De bliver også nødt til at påvirke Xbox-brugernes sikkerhed direkte, hvilket betyder, at fejl i fjernudførelse af kode, der er toppen af bunken med hensyn til sværhedsgrad, tjener den maksimale belønning. Andre, som privilegiehøjde, omgåelse af sikkerhedsfunktioner og spoofing, tjener mindre belønninger mellem $ 1.000 og $ 5.000.
Sårbarheder uden for anvendelsesområdet inkluderer problemer med Denial-of-Service, fordi det vil kræve, at forskere udfører DoS / DDoS-test og derved forstyrrer virksomhedens tjenester. Virksomheden siger også, at offentliggørelse af serversiden, CSRF-fejl med lav indflydelse, overtagelse af underdomæner, sårbarheder om afspilning af cookie, grundlæggende URL-omdirigeringer og alt, hvad der involverer phishing eller social engineering-angreb mod Microsoft-medarbejdere eller kunder, er heller ikke berettiget til belønning under program.
Xbox bug bounty-programmet kommer kun få måneder efter, at virksomheden rullede ud et lignende program til sin Chromium-baserede Edge-browser med belønninger på op til $ 30.000 til cybersikkerhedsforskere, der kan finde sårbarheder i Dev- og Beta-kanaler i softwaren. . Virksomheden kører også en række andre sådanne programmer til Windows, Office, .NET og mere, men de højeste belønninger er forbeholdt sårbarhedsrapporter på Azure cloud-tjenester og Hyper-V virtualiseringsservere.