Security: Microsoft hat 13,7 Millionen US-Dollar als Bug-Bounty-Belohnungen ausgegeben
Rund 13,7 Millionen US-Dollar hat Microsoft vom 1. Juli 2021 bis zum 30. Juni 2022 für erfolgreich gemeldete Sicherheitslücken als Belohnungen ausgegeben, wie das Unternehmen per Blog-Eintrag mitteilt. Das sind rund 100.000 US-Dollar mehr als noch im vorherigen Vergleichszeitraum 2020/2021.
In den letzten drei Berichtszeiträumen hat Microsoft jeweils über 13 Millionen US-Dollar für das Programm ausgegeben. 2018/2019 lag der Betrag noch bei 4,4 Millionen US-Dollar.
Der höchste Belohnung für einen Bug waren 200.000 US-Dollar. Dieser Betrag wurde im Rahmen des Hyper-V-Bugprogramms ausgezahlt. Microsoft ist bei der höchsten Auszahlung damit in den letzten Jahren konstant geblieben. Von den Belohnungen haben insgesamt 335 Sicherheitsforscher profitiert, die sich auf 46 Länder verteilen. Die meisten davon befanden sich in den USA und China. Aber auch in Indien, Australien, Deutschland und im Vereinigten Königreich gab es zahlreiche Belohnungen.
Die Anzahl der Sicherheitslücken, die über 17 Bug-Bounty-Programme eingereicht wurden, liegt bei 1.091. Das ist weniger als beim letzten Mal, als noch 1.261 Sicherheitslücken erfolgreich gemeldet wurden.
Durch das Bug-Bounty-Programm wurden trotzdem zahlreiche Sicherheitslücken aus Microsoftprodukten entfernt und damit auch einem möglicherweise kriminellen Nutzen entzogen. Microsoft hat sich dabei eigenen Angaben zufolge vor allem auf kritische Cloud-Infrastruktur konzentriert. Das Unternehmen nennt hier explizit Azure Synapse Analytics, Key Vault, und Azure Kubernetes Services, die im Fokus standen.