Microsoft vs Google: chi da più premi in bug bounty è il più bravo?

Tra il 1 luglio 2021 e il 30 giugno 2022, Microsoft ha distribuito la ricompensa di 13,7 milioni di dollari a 335 ricercatori di sicurezza informatica. In confronto, nel 2021 Google ha assegnato 8,7 milioni di dollari ai professionisti, definendola una cifra “record”.

Grazie alla suite Office e al sistema operativo Windows, Microsoft dispone di un’enorme superficie di attacco con codice legacy attraverso il quale gli aggressori possono trovare vulnerabilità.

Il premio più grande di Microsoft è stato di 200.000 dollari nell’ambito del programma di ricompense Hyper-V, con una ricompensa media di 12.000 dollari.

Inoltre, quest’anno l’ azienda ha fissato un compenso fino a 26.000 dollari per le vulnerabilità in Exchange, SharePoint e Skype for Business. 

Altri premi sono stati aumentati al 30%. Tuttavia, il capo del team di risposta alla sicurezza dei prodotti Google Cloud ha recentemente affermato che trovare semplicemente le vulnerabilità e risolverle è “completamente inutile” .

Microsoft continua ad evolvere il suo programma di ricompense aggiungendo scenari di attacco contro Azure, Dynamics 365 e Power Platform.

Agostino Pellegrino

E’ un libero professionista, insegnante e perito di informatica Forense, Cyber Security ed Ethical Hacking e Network Management. Ha collaborato con importanti istituti di formazione a livello internazionale e ha esercitato teaching e tutorship in tecniche avanzate di Offensive Security per la NATO ottenendo importanti riconoscimenti dal Governo degli Stati Uniti. Il suo motto è “Studio. Sempre”.

Aree di competenza: Cybersecurity architecture, Threat intelligence, Digital forensics, Offensive security, Incident response & SOAR, Malware analysis, Compliance & frameworks