Microsoft Bounty no es la respuesta de la compañía de Bill Gates a Pedro Pascal y The Mandalorian, acá no habrá Baby Yoda, pero sí quizás algo de su magia, ya que se tendrá que ser muy dúctil y preciso en descubrir errores para poder postular.
Se trata más bien de la nueva plataforma de informe de errores, que quedará abierta para que los usuarios puedan dar a conocer fallos dentro del ecosistema de Xbox.
Las recompensas para todos aquellos que logren dar con errores, varían entre los $500 dólares y los $20,000 dólares como máximo, dependiendo del tamaño del problema y de la complejidad que éste tenga.
Para Microsoft qué constituye una vulnerabilidad elegible dentro del programa:
- Identificar una vulnerabilidad no reportada anteriormente que se reproduzca en nuestra última versión completamente parcheada de la red y los servicios de Xbox Live en el momento del envío.
- Se deben incluir pasos claros, concisos y reproducibles, ya sea por escrito o en formato de video.
- Esto permite que las presentaciones se revisen lo más rápido posible y admite los premios de recompensa más altos.
La compañía afirma que las recompensas variarán «en función de la calidad del informe y el impacto de la vulnerabilidad».
De esta forma, las recompensas más altas, o sea, de $20,000 dólares pueden ir en Ejecución remota de código en su fase crítica, luego lo siguen la Elevación de Privilegios, los Bypass de funciones de seguridad, la divulgación de información, el spoofing (suplantación de redes), manipulación y la negación de servicio.
Microsoft agrega en función de esto, que una vez hecho los descubrimientos, debe existir un informe y contacto con alguien del equipo técnico.
«Un informe de alta calidad proporciona la información necesaria para que un ingeniero reproduzca, comprenda y solucione rápidamente el problema. Esto generalmente incluye una redacción concisa o un video que contiene la información de fondo requerida, una descripción del error y una prueba de concepto (PoC) adjunta», sostienen.
Microsoft también enumera las actividades prohibidas en su programa Bounty:
- Cualquier tipo de prueba de denegación de servicio.
- Realizar pruebas automatizadas de servicios que generan cantidades significativas de tráfico.
- Obtener acceso a cualquier información que no sea totalmente suya. Por ejemplo, se le permite y alienta a crear una pequeña cantidad de cuentas de prueba con el fin de demostrar y probar el acceso a cuentas cruzadas. Sin embargo, está prohibido usar una de estas cuentas para acceder a los datos de un cliente o cuenta legítimo.
- Ir más allá de los pasos de prueba de concepto mínimamente necesarios para problemas de ejecución del lado del servidor
- Intentar phishing u otros ataques de ingeniería social contra nuestros empleados o clientes de Xbox.
