Microsoft hat den Start des Xbox Bounty-Programms für Gamer und Cyber-Sicherheitsforscher angekündigt, um Sicherheitslücken im Xbox Live-Netzwerk und in den Xbox Live-Diensten zu identifizieren. In einem am Donnerstag veröffentlichten Blog-Beitrag sagte das Unternehmen, dass das Ziel des Bug-Bounty-Programms ist "Um erhebliche Schwachstellen aufzudecken, die einen direkten und nachweisbaren Einfluss auf die Sicherheit der Microsoft-Kunden haben", Qualifizierte Einsendungen sind für Kopfgeldprämien von 500 bis 20.000 US-Dollar berechtigt.
Wie bei den meisten Bug-Bounty-Programmen müssen die Sicherheitsanfälligkeiten zuvor nicht gemeldet und zum Zeitpunkt der Übermittlung auf der neuesten, vollständig gepatchten Version des Xbox Live-Netzwerks und der Xbox Live-Dienste des Unternehmens reproduzierbar sein. Sie müssen sich auch direkt auf die Sicherheit der Xbox-Benutzer auswirken. Dies bedeutet, dass Fehler bei der Remotecodeausführung, die in Bezug auf den Schweregrad ganz oben auf der Liste stehen, die maximale Belohnung erhalten. Andere, wie die Erhöhung von Berechtigungen, das Umgehen von Sicherheitsfunktionen und das Spoofing, verdienen kleinere Belohnungen zwischen 1.000 und 5.000 US-Dollar.
Zu den Schwachstellen außerhalb des Geltungsbereichs zählen Denial-of-Service-Probleme, da Forscher dazu DoS / DDoS-Tests durchführen müssen, wodurch die Dienste des Unternehmens beeinträchtigt werden. Das Unternehmen gibt außerdem an, dass die Offenlegung serverseitiger Informationen, CSRF-Fehler mit geringen Auswirkungen, Übernahmen von Subdomains, Sicherheitsanfälligkeiten bei der Wiedergabe von Cookies, grundlegende URL-Weiterleitungen und alles, was Phishing- oder Social-Engineering-Angriffe gegen Microsoft-Mitarbeiter oder -Kunden beinhaltet, ebenfalls nicht für Belohnungen im Rahmen des Programms in Frage kommen Programm.
Das Xbox Bug Bounty-Programm kommt nur wenige Monate, nachdem das Unternehmen ein ähnliches Programm für seinen Chromium-basierten Edge-Browser eingeführt hat. Für Cyber-Sicherheitsforscher, die Schwachstellen in den Dev- und Beta-Kanälen der Software finden, werden bis zu 30.000 US-Dollar belohnt . Das Unternehmen führt auch eine Reihe anderer solcher Programme für Windows, Office, .NET und mehr aus. Die höchsten Belohnungen sind jedoch für Schwachstellenberichte auf Azure-Clouddiensten und Hyper-V-Virtualisierungsservern reserviert.