Esta página responde às perguntas frequentes sobre o Programa de Recompensas da Microsoft. Confira os Termos de Recompensas da Microsoft para saber os termos e condições completos que se aplicam ao Programa de Recompensas da Microsoft. 
|

Envie sua descoberta para a Microsoft usando nosso portal online, incluindo instruções para reproduzir a vulnerabilidade, usando as diretrizes de envio de bugs encontradas aqui
 
Algumas observações importantes:
  • Solicitamos que você siga a CVD (Divulgação de Vulnerabilidades Coordenada) ao relatar vulnerabilidades à Microsoft, já que envios que não seguirem a CVD provavelmente não estarão qualificados para recompensas e poderão desqualificar você de programas de recompensas no futuro.
  • A Microsoft se empenhará para esclarecer envios incompletos ou indecifráveis, mas os mais completos geralmente se qualificam para recompensas maiores (confira as tabelas de prêmios do programa para obter mais detalhes).
  • Não há restrições ao número de envios qualificados que podem ser feitos pelo mesmo remetente nem ao número de prêmios de recompensa que um mesmo remetente pode receber.

  1. Você receberá um email confirmando que recebemos seu envio.
  2. Os gerentes de caso e a equipe de engenharia do MSRC examinarão o envio, o que inclui reproduzir a vulnerabilidade e avaliar a gravidade e o impacto sobre a segurança. Dependendo da complexidade e da integridade do envio, o tempo de análise pode variar, mas geralmente leva duas semanas. 
  3. Após o envio ter sido reproduzido e analisado, a equipe de recompensas examinará se ele está qualificado para receber prêmios de recompensa. Se ele estiver qualificado para tal, a equipe de recompensas entrará em contato para dar as boas notícias e começar o processo de pagamento do prêmio. 
  4. Você deverá concluir o registro com um de nossos provedores de pagamento de prêmios. Após a conclusão do registro, você receberá seu prêmio de recompensa por meio desse provedor.
  5. Reconheceremos a maioria dos indivíduos que receber recompensas por meio de nossos reconhecimentos de pesquisadores de segurança ou de nossos Reconhecimentos de Segurança dos Serviços Online.

Confira a seção sobre Qualificação para o Programa nos Termos de Recompensa da Microsoft.

Confira a seção sobre Qualificação para o Programa nos Termos de Recompensa da Microsoft.

  • Os produtos e os serviços dentro do escopo dos prêmios de recompensa e dos respectivos valores são publicados nas páginas Programas de Recompensas da Microsoft
  • A Microsoft usa seus próprios critérios para determinar quais envios se qualificam.
  • Se recebermos muitos relatórios de bug referentes ao mesmo problema de diferentes pessoas, a recompensa será concedida ao primeiro envio qualificado.
  • Se um relatório duplicado fornecer novas informações desconhecidas anteriormente pela Microsoft, poderemos premiar a pessoa que enviou tal relatório.
  • Se um envio se qualificar para vários programas de recompensas, você receberá o prêmio de maior valor de somente um deles. 

A recompensa é apenas uma das maneiras pelas quais reconhecemos pesquisadores que nos ajudam a proteger os clientes da Microsoft. Caso seu envio não esteja qualificado para prêmios de recompensa, você ainda poderá ganhar pontos de reconhecimento de pesquisadores e ser publicamente reconhecido por contribuir para correções e atualizações. 

Proteger os clientes é a maior prioridade da Microsoft. Tentamos tratar de cada relatório de vulnerabilidade o quanto antes. Enquanto fazemos isso, precisamos que os envios ao programa de recompensas permaneçam confidenciais e não sejam divulgados a terceiros nem como parte de revisões de artigos nem como pautas de conferências. Você poderá disponibilizar descrições de alto nível de sua pesquisa e demonstrações não reversíveis depois que a vulnerabilidade for corrigida. Exigimos que o código de exploração de prova de conceito detalhado e detalhes que facilitariam ataques a clientes sejam retidos por 30 dias após a correção da vulnerabilidade. A Microsoft notificará você quando a vulnerabilidade em seu envio for corrigida. É possível que você receba um prêmio antes do lançamento da correção. Esse prêmio  não significará que a correção tenha sido concluída.
  • Entre em contato com bounty@microsoft.com caso você pretenda discutir a vulnerabilidade após sua correção. Isso inclui postagens em blogs, apresentações públicas, white papers e outras mídias.
  • Para que as pessoas tenham tempo para atualizar, geralmente recomendamos aguardar pelo menos 30 dias após a vulnerabilidade ser corrigida pela Microsoft para discuti-la publicamente.

Sim. Queremos estar cientes da vulnerabilidade de segurança assim que você encontrá-la. Nós o premiaremos pela vulnerabilidade relatada. Se nos fornecer uma exploração em andamento dentro de 90 dias após o envio da vulnerabilidade, nós a levaremos em consideração e premiaremos você com um valor adicional pelo relatório de exploração funcional ou de alta qualidade. Por exemplo, se enviar um RCE crítico, você receberá USD 6.000 durante a fase de adjudicação. Se enviar a exploração em funcionamento dentro de 90 dias, você receberá USD 9.000 adicionais.

Estamos avaliando constantemente nossos programas para determinar como promover ganhos mútuos entre a comunidade de pesquisa de segurança e os clientes da Microsoft.

Se está enviando sua própria ideia de bypass de mitigação, você não precisa fazer o pré-registro. Basta enviá-la para secure@microsoft.com. Se estiver enviando uma técnica de bypass de mitigação que você observou ser usada, será necessário fazer o pré-registro antes de enviar. Envie um email para bounty@microsoft.com para começar. Confira os termos completos do programa aqui.

Sim, se a defesa enviada for considerada nova e prática, conforme definido nos termos, daremos prêmios de até USD 100.000 para defesas que possam bloquear bypasses de mitigação existentes. Se tiver uma técnica de defesa e as explorações correspondentes para provar que a técnica funciona, você se qualificará para este programa.

Os parceiros da Microsoft HackerOne e Bugcrowd oferecem recompensas para pesquisadores qualificados. A HackerOne e a Bugcrowd nos ajudam a fornecer os prêmios de recompensa rapidamente e com mais opções, como PayPal, Payoneer, doações para caridade, criptomoedas ou transferência bancária direta em mais de 30 moedas. Os prêmios de recompensa da Microsoft distribuídos por meio da HackerOne ou da Bugcrowd também contribuirão para a reputação geral do pesquisador na plataforma do provedor.

A Microsoft gerencia nossos programas de recompensas independentemente das plataformas HackerOne e Bugcrowd. Os relatórios de vulnerabilidade precisam ser enviados diretamente à Microsoft por meio do portal de envio do MSRC ou de secure@microsoft.com. Os detalhes desses envios não serão compartilhados com nossos parceiros provedores de pagamento. Nossos parceiros e provedores de pagamento receberão apenas informações sobre o valor do prêmio, o número do caso e a severidade do caso. Perguntas sobre o status de uma avaliação, correção ou versão de envio devem ser feitas à Microsoft. 

É aconselhável que todos os pesquisadores usem o HackerOne ou o Bugcrowd para receber os prêmios de recompensa. Aqueles que não conseguirem usar um desses provedores poderão escolher o sistema de pagamento corporativo da Microsoft para receber prêmios de recompensa. Os prêmios enviados por meio do sistema corporativo podem levar de um a três meses para serem processados, tempo consideravelmente maior que aqueles enviados por meio do HackerOne ou do Bugcrowd.