Microsoft verdrievoudigt uitkering 'bug bounties'

De hogere uitkeringen zijn deels het gevolg van zes nieuwe bugbounty-programma's en twee nieuwe onderzoeksfondsen bij Microsoft. In totaal werden meer dan duizend meldingen gedaan door meer dan 300 beveiligingsonderzoekers. Microsoft heeft nu 15 verschillende programma's die bug bounties uitkeren. De bugbounty-programma's helpen het aantal zeroday-kwetsbaarheden dat wordt ontdekt en misbruikt, te verminderen. Het stimuleert onderzoekers gevonden kwetsbaarheden te melden aan de betreffende producent in plaats van ze te verhandelen met cybercriminelen.

Waarschijnlijk hebben de onderzoekers ook meer tijd kunnen besteden aan het speuren naar kwetsbaarheden als gevolg van de beperkingen in bewegingsvrijheid door de COVID-19-epidemie. In alle programma's was er een sterke belangstelling van onderzoekers en een toename in het aantal indiende rapporten in de eerste maanden van de pandemie, constateert Microsoft.

Microsoft keerde meer dan twee keer zo veel beloningen uit als Google in dezelfde periode. Microsoft scoort dan ook hoog in het aantal 'zero day'-kwetsbaarheden dat daadwerkelijk wordt misbruikt door cybercriminelen, meldt ZDNet op basis van cijfers van Googles Project Zero. Van de 11 dergelijke exploits die in het eerste half jaar van 2020 werden ontdekt door Google, waren er 4 gericht op Microsoft-software. Over heel 2019 zaten 11 van de 20 misbruikte zero-day kwetsbaarheden in Microsoft-software. Googles Project Zero maakt daarbij overigens wel de kanttekening dat er meer aandacht is voor Microsoft-producten wat ook resulteert in meer tools voor het opsporen van softwarefouten in Microsoft producten.