Ende Januar hat Microsoft ein Bug Bounty-Programm für die Xbox gestartet. Damit erhalten nun diejenigen Tippgeber, die qualifizierte Sicherheitslücken der Xbox an den Konzern melden, bis zu 20.000 Dollar für eine Übermittlung.
Damit versucht Microsoft die Xbox als Plattform noch sicherer zu gestalten, denn mit den anderen Bug Bounty-Programmen und den Belohnungen für Tippgeber hat der Konzern gute Erfahrungen gemacht. In dem
Launch-Bericht von Microsoft heißt es jetzt: "Das Xbox Bounty-Programm lädt nun Spieler, Sicherheitsforscher und andere Personen auf der ganzen Welt ein, bei der Identifizierung von Sicherheitslücken im Xbox Live-Netzwerk und den Diensten zu helfen und diese dem Xbox-Team mitzuteilen. Qualifizierte Einsendungen sind für Kopfgeldprämien von 500 bis 20.000 Dollar qualifiziert."
500 bis 20.000 Dollar pro Schwachstelle
Die Höhe der Belohnung richtet sich nach der Einordnung der gemeldeten Bugs, also ob sie als kritisch, hoch oder moderat in der Ausnutzung eingeschätzt werden und nach der Art der möglichen Umgehung und deren möglichem Unheil. Nicht alle Sicherheitslücken werden dabei von Microsoft belohnt. Eine genaue Auflistung aller Ausnahmen findet man in dem Support-Dokument zum Bug Bounty-Programm. Dazu gehören zum Beispiel Bugs, die für klassische Cheat-Software genutzt werden.
Tipps von Microsoft
Microsoft lässt im Grunde jeden, der mitmachen möchte, nach Sicherheitslücken suchen. Für die Übermittlung gibt es daher auch recht einfache Tipps. Zum Beispiel sollte ein "qualitativ hochwertiger Bericht" alle Informationen liefern, damit das Unternehmen das gemeldete Problem schnell reproduzieren, verstehen und dann beheben kann. Dazu gehört beispielsweise ein Bericht oder ein Video mit den erforderlichen Hintergrundinformationen, einer Beschreibung des Fehlers und einem beigefügten Proof of Concept (PoC). Beispiele für Berichte von hoher und niedriger Qualität hat der Konzern auch
gleich mit veröffentlicht.