Der US-amerikanische Software-Gigant Microsoft mit Sitz in Redmond zahlt ab sofort eine Belohnung, sobald erwiesen ist, dass eine entdeckte Sicherheitslücke einen unmittelbaren Einfluss auf einen Microsoft-Onlinedienst hat. Dabei ist es unerheblich, ob es sich dabei um Code handelt, den Microsoft selbst geschrieben hat, oder ob dieser von einem Drittanbieter respektive aus einer Open-Source-Quelle stammt.
Microsoft übertitelt das neue Belohnungssystem mit "In scope by default“, was wörtlich übersetzt so viel wie standardmässig im Umfang bedeutet. Die Redmonder haben das neue Prinzip auf dem Microsoft Security Blog angekündigt.
Bis dato haben sich die Redmonder im Rahmen der Bug Bounty Programme nur für den eigenen Code "haftbar“ gemacht. Neu zahlt man die Prämie also auch für fremden Code und verpflichtet sich, alles dafür zu tun, dass der Fehler beseitigt und die Sicherheitslücke geschlossen wird. Desweiteren spiele es künftig keine Rolle mehr, ob für einen Microsoft-Onlinedienst ein explizites Belohnungsprogramm existiert. Eine Prämie gibt es in jedem Fall.
Den Angaben der Windowserfinderin zufolge, hat Microsoft im vergangenen Geschäftsjahr über seine Bug Bounty Programme 17 Millionen Dollar ausgeschüttet. Gut investiertes Geld, denn der Schaden, den eine Sicherheitslücke in den falschen Händen anrichten kann, geht weit darüber hinaus.
