Microsoft выплатила $2,3 млн исследователям безопасности по итогам конкурса Zero Day Quest, получив около 700 заявок. Обнаружены критические уязвимости в облачных сервисах и ИИ. Конкурс — часть Инициативы безопасного будущего (SFI). — bleepingcomputer.com
Корпорация Microsoft выплатила 2,3 миллиона долларов исследователям безопасности по итогам хакерского конкурса Zero Day Quest этого года, получив около 700 заявок.
Том Галлахер, вице-президент по разработке в Центре реагирования на инциденты безопасности Microsoft (MSRC), сообщил, что более 80 уязвимостей, обнаруженных в ходе мероприятия, проходившего в кампусе Microsoft в Редмонде, оказались критическими с точки зрения безопасности облачных сервисов и искусственного интеллекта.
“В ходе мероприятия по взлому в режиме реального времени в 2026 году Microsoft сотрудничала с мировым сообществом исследователей безопасности, представленным более чем 20 странами и широким кругом специалистов — от старшеклассников до университетских профессоров”, — заявил Галлахер.
“Исследователи проводили все тесты в авторизованных средах в соответствии с Правилами проведения работ Microsoft, демонстрируя потенциальное воздействие без доступа к данным клиентов или другим системам арендаторов. В рамках этих ограничений исследователи выявили критические пути, связанные с раскрытием учетных данных, цепочками SSRF и доступом между арендаторами”.
В августе прошлого года Microsoft объявила, что увеличит призовой фонд на хакерском конкурсе Zero Day Quest этого года до 5 миллионов долларов в виде вознаграждений, что компания назвала “крупнейшим мероприятием по взлому в истории”.
Конкурс Zero Day Quest 2025 также привлек значительное участие со стороны сообщества безопасности после того, как Microsoft предложила 4 миллиона долларов в качестве вознаграждений за уязвимости в облачных продуктах и платформах ИИ.
После завершения конкурса Microsoft объявила, что выплатила 1,6 миллиона долларов в виде вознаграждений, получив более 600 сообщений об уязвимостях.
Конкурс Zero Day Quest является частью Инициативы безопасного будущего Microsoft (Secure Future Initiative, SFI) — проекта по кибербезопасности, запущенного в ноябре 2023 года после резкого отчета Совета по обзору кибербезопасности Министерства внутренней безопасности США, в котором культура безопасности компании была признана “неадекватной” и требующей “пересмотра”.
“В рамках нашей Инициативы безопасного будущего (SFI) мы будем прозрачно делиться критическими уязвимостями через программу CVE, даже если от клиентов не требуется никаких действий”, — сказал Галлахер в августе. “Выводы из Zero Day Quest будут распространены по всей Microsoft, чтобы помочь улучшить безопасность облачных сервисов и ИИ в соответствии с основными принципами SFI: безопасность по умолчанию, по замыслу и в операциях”.
Ранее в том же месяце Microsoft объявила, что выплатила рекордные 17 миллионов долларов 344 исследователям безопасности из 59 стран в рамках своей программы вознаграждений за обнаружение уязвимостей (bug bounty) с июля 2024 года по июнь 2025 года.
В декабре компания также объявила, что исследователям безопасности будут платить за обнаружение критических уязвимостей в любых онлайн-сервисах Microsoft, даже если уязвимый код был написан сторонней организацией.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Sergiu Gatlan