Microsoft kondigde afgelopen weekend aan dat het zijn Microsoft Copilot (AI) bug bounty-programma heeft uitgebreid en de beloningen voor kwetsbaarheden met matige ernst heeft verhoogd.

Om de Copilot consumentenproducten beter te beveiligen tegen aanvallen, heeft het bedrijf uit Redmond een breder scala aan Copilot consumentenproducten en -diensten toegevoegd aan de reikwijdte van het programma, inclusief Copilot voor Telegram, Copilot voor WhatsApp, copilot.microsoft.com, en copilot.ai.

Het bedrijf biedt nu ook incentives tot $5.000 voor het melden van matige kwetsbaarheden, die ook de veiligheid en betrouwbaarheid van zijn Copilot-producten aanzienlijk kunnen beïnvloeden.

“We introduceren nieuwe incentives voor Copilot-gevallen met matige ernst. Onderzoekers die kwetsbaarheden met matige ernst identificeren en melden, komen nu in aanmerking voor beloningen tot $5.000,” zei Microsoft.

“Deze uitbreiding biedt onderzoekers meer kansen om bij te dragen aan de veiligheid van ons Copilot-ecosysteem en helpt ons potentiële kwetsbaarheden te identificeren en te verhelpen op een breder scala aan platforms.”

Het Microsoft Copilot-bountyprogramma beloont ook gekwalificeerde inzendingen voor kwetsbaarheden die worden gevonden in Copilot (Pro) AI-ervaringen in Microsoft Edge (Windows), Microsoft Copilot Application (iOS en Android), Windows OS en Bing generatieve zoekopdrachten die worden gehost op bing.com in de browser.

Beloningen variëren van $250 voor kwetsbaarheden met lage ernst zoals Cross-Site Scripting (XSS), Cross-Site Request Forgery (CSRF), Web Security Misconfiguratie, Cross Origin Access, en Onjuiste Input Validatie bugs tot $30.000 voor kritische gebreken die manipulatie van gevolgtrekkingen toestaan.

Het Microsoft 365 Bounty Programma werd vorige maand ook uitgebreid met nieuwe Viva-producten voor Kritische en Belangrijke gevallen, inclusief Feature Access Control, Glint, Learning, en Pulse, met beloningen tot $27.000.

Tijdens de jaarlijkse Ignite-conferentie van vorig jaar in Chicago, breidde Microsoft ook zijn bug bounty-programma’s uit door de Zero Day Quest te lanceren, een hackingevenement met $4 miljoen aan beloningen gericht op cloud- en AI-producten en -platforms.

De inspanningen om de cyberbeveiliging over alle producten te verbeteren maken deel uit van het Secure Future Initiative (SFI), een bedrijfsbrede cyberbeveiligingsengineering-inspanning die in november 2023 werd gelanceerd om vooruit te lopen op een vernietigend rapport van de Cyber Safety Review Board van het Amerikaanse Department of Homeland Security, waarin werd gesteld dat Microsoft’s “veiligheidscultuur ontoereikend was en een revisie vereist.”

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----