Microsoft a annoncé le lancement du programme Xbox Bounty pour les joueurs et les chercheurs en cybersécurité afin d'aider à identifier les vulnérabilités de sécurité dans le réseau et les services Xbox Live. Dans un article de blog publié jeudi, la société a déclaré que l'objectif du programme de prime aux bogues était «Pour découvrir des vulnérabilités importantes qui ont un impact direct et démontrable sur la sécurité des clients de Microsoft», et les soumissions qualifiées seront admissibles à des récompenses de 500 $ à 20000 $.
Comme pour la plupart des programmes de primes de bogues, les vulnérabilités doivent être auparavant non signalées et doivent être reproductibles sur la dernière version entièrement corrigée du réseau et des services Xbox Live de la société au moment de la soumission. Ils devront également affecter directement la sécurité des utilisateurs Xbox, ce qui signifie que les failles d'exécution de code à distance qui sont au sommet en termes de gravité, gagneront la récompense maximale. D'autres, comme l'élévation de privilèges, le contournement des fonctionnalités de sécurité et l'usurpation d'identité, gagneront des récompenses plus petites entre 1000 $ et 5000 $.
Les vulnérabilités hors champ incluent les problèmes de déni de service, car cela obligera les chercheurs à effectuer des tests DoS / DDoS, interférant ainsi avec les services de l'entreprise. La société affirme également que la divulgation d'informations côté serveur, les bogues CSRF à faible impact, les prises de contrôle de sous-domaines, les vulnérabilités de relecture des cookies, les redirections d'URL de base et tout ce qui implique des attaques de phishing ou d'ingénierie sociale contre les employés ou les clients de Microsoft ne sont pas non plus éligibles aux récompenses au titre du programme.
Le programme Xbox Bug Bounty intervient quelques mois seulement après que la société ait déployé un programme similaire pour son navigateur Edge basé sur Chromium, avec des récompenses allant jusqu'à 30000 $ pour les chercheurs en cybersécurité qui peuvent trouver des vulnérabilités dans les canaux Dev et Beta du logiciel. . La société exécute également un certain nombre d'autres programmes de ce type pour Windows, Office, .NET et plus, mais les récompenses les plus élevées sont réservées aux rapports de vulnérabilité sur les services cloud Azure et les serveurs de virtualisation Hyper-V.