Programa de Recompensas para a Localização de Bugs da Microsoft

A Microsoft tem acredita que parcerias com pesquisadores tornam os clientes mais seguros. Os pesquisadores de segurança desempenham uma função integral no ecossistema descobrindo as vulnerabilidades perdidas no processo de desenvolvimento de software. Todo ano, fazemos parcerias para proteger ainda mais bilhões de clientes em todo o mundo.

Se você é um pesquisador de segurança que encontrou uma vulnerabilidade em um produto, serviço ou dispositivo da Microsoft, queremos ouvir a sua opinião. Se o relatório de vulnerabilidade afetar um produto ou serviço que esteja dentro do escopo de um de nossos programas de recompensas abaixo, você poderá receber um prêmio de recompensa de acordo com as descrições do programa. Mesmo que não seja coberto por um programa de recompensas existente, reconheceremos suas contribuições publicamente quando corrigirmos a vulnerabilidade. Todos os envios de vulnerabilidades são contabilizados em nosso Programa de Reconhecimento de Pesquisadores e no placar de líderes, mesmo que não se qualifiquem para o prêmio de recompensa.

Clique aqui para enviar uma vulnerabilidade de segurança

Os Programas de Recompensas para a Localização de Bugs da Microsoft estão sujeitos aos termos e condições legais descritos aqui e à nossa política de Safe Harbor de recompensas.

Que comece a caçada!

Nossos programas de recompensas para a localização de bugs são divididos por área de tecnologia, embora geralmente tenham os mesmos requisitos gerais:

Programas de nuvem

Nome de Programa	Data de início	Última Atualização	Data de término	Entradas qualificadas	Intervalo das recompensas
Microsoft Azure	23/09/2014	24/08/2020	Em andamento	Relatórios de vulnerabilidade dos Serviços de Nuvem do Microsoft Azure	Até US$ 40.000
Identidade da Microsoft	17/07/2018	23/10/2019	Em andamento	Relatórios de vulnerabilidade em serviços de identidade, incluindo a conta Microsoft, o Azure Active Directory ou alguns padrões de OpenID.	Até USD 100.000
Xbox	30/01/2020	30/01/2020	Em andamento	Relatórios de vulnerabilidade na rede e nos serviços do Xbox Live	Até USD 20.000
Microsoft Online Services	23/09/2014	05/08/2019	Em andamento	Relatórios de vulnerabilidade sobre os serviços em nuvem da Microsoft aplicáveis, incluindo o Office 365	Até USD 20.000
Microsoft Azure DevOps Services	17/01/2019	17/01/2019	Em andamento	Relatórios de vulnerabilidade sobre Microsoft Azure DevOps Services aplicáveis	Até USD 20.000
Microsoft Dynamics 365	17/07/2019	29/07/2019	Em andamento	Relatórios de vulnerabilidade em aplicativos do Microsoft Dynamics 365 aplicáveis	Até USD 20.000
Microsoft .NET Core e ASP.NET Core	2016-09-01	16/10/2018	Em andamento	Relatórios de vulnerabilidade no .NET Core e no ASP.NET Core RTM e builds futuros (confira o link para obter detalhes do programa)	Até USD 15.000

Programas de plataforma

Nome de Programa	Data de Início	Última Atualização	Data de Término	Entradas qualificadas	Intervalo das recompensas
Microsoft Hyper-V	31/05/2017	13/04/2020	Em andamento	Vulnerabilidades em execução de código remoto crítico, divulgação de informações confidenciais e negação de serviços no Hyper-V	Até USD 250.000
Microsoft Windows Insider Preview	26/07/2017	27/08/2020	Em andamento	Vulnerabilidades críticas e importantes no Windows Insider Preview	Até USD 100.000
Windows Defender Application Guard	26/07/2017	26/07/2017	Em andamento	Vulnerabilidades críticas no Windows Defender Application Guard	Até USD 30.000
Microsoft Edge (baseado em Chromium)	20/08/2019	15/01/2020	Em andamento	Vulnerabilidades críticas e importantes nos canais Beta, Estável e Dev do Microsoft Edge (baseado em Chromium)	Até USD 30.000
Office Insider	15/03/2017	07/12/2018	Em andamento	Vulnerabilidades no Office Insider	Até USD 15.000
ElectionGuard	18/10/2019	15/06/2020	Em andamento	Vulnerabilidades no ElectionGuard	Até USD 15.000

Programas de defesa e concessão

Nome de Programa	Data de Início	Última Atualização	Data de Término	Entradas qualificadas	Intervalo das recompensas
Bypass de mitigação e recompensa por defesa	26/06/2013	02/10/2018	Em andamento	Novas técnicas de exploração contra proteções incorporadas à versão mais recente do sistema operacional Windows. Além disso, ideias de defesa que acompanhem um envio de bypass de mitigação.	Até USD 100.000 (adicional de até USD 100.000)
Concessão: Identidade da Microsoft	09/01/2020	09/04/2020	Em andamento	Este projeto concede prêmios de até US$ 75.000 por propostas de pesquisa aprovadas que aprimoram a segurança das soluções do Microsoft Identity de novas formas para os consumidores (conta Microsoft) e para as empresas (Azure Active Directory).	Até US$ 75.000

Recursos adicionais para pesquisadores de segurança

Reunimos recursos adicionais para ajudar você a entender nossas ofertas de programa de recompensas e até mesmo para ajudar você a começar ou a conseguir pagamentos mais altos. Nós realmente consideramos esses programas como uma parceria colaborativa com a comunidade de segurança. Seu sucesso no programa ajuda a aumentar a segurança de nossos clientes e a aprimorar o ecossistema.

Perguntas frequentes

Exemplos de relatórios de alta qualidade

Safe Harbor jurídico dos programas de recompensas da Microsoft

Critérios dos serviços de segurança do Windows

Diretório de serviços do Azure

Documentação da Microsoft para usuários finais, desenvolvedores e profissionais de TI

Blog do Microsoft Security Research and Defense

Treinamento Hacker101 da HackerOne

Bugcrowd University

Fora do escopo das recompensas

Alguns tipos de envios geralmente não se qualificam para as recompensas da Microsoft. Confira nossos programas de recompensas para obter informações adicionais sobre os envios, as vulnerabilidades ou os métodos de ataque qualificados.