微軟今天宣布推出針對Xbox遊戲平台的官方漏洞賞金計劃。從今天開始,微軟表示將為Xbox Live網絡和服務中的漏洞支付500至20000美元。任何人都可以向新的Xbox Bug賞金計劃提交漏洞,無論他們是遊戲玩家還是訓練有素的安全專家。
微軟安全響應中心(MSRC)計劃經理ChloéBrown認為,合格的提交必須包括「清晰簡潔的概念證明(POC)」。需要POC來演示該漏洞的影響,並允許Xbox團隊在修復報告的問題之前重現該漏洞。
該計劃的規則指出:「微軟將根據漏洞的嚴重性和影響以及提交的質量來酌情授予賞金。」
該漏洞賞金計劃將涵蓋Xbox Live雲後端基礎結構,錯誤報告獎勵數額將根據下表提供:
但是,Xbox Bug賞金也有一些限制。例如,微軟禁止並自動取消試圖釣魚或試圖誘騙Xbox用戶和工程師的Bug獵手的資格,並取消其最低要求的訪問權限以證明漏洞的影響,或者試圖下載或訪問敏感的Xbox用戶數據的Bug獵手,這些都不被允許。
Xbox平台自2012年以來一直存在。但即便是微軟是最早運行漏洞賞金計劃的科技公司之一,Xbox也從未包含在該計劃中。
微軟目前大量向漏洞發現者支付漏洞賞金,例如Windows作業系統,Office套件,IE和Edge Web瀏覽器,大量的雲服務,Hyper-V虛擬機管理程序技術以及ElectionGuard投票軟體。