Microsoft ogłosił uruchomienie programu Xbox Bounty dla graczy i badaczy cyberbezpieczeństwa, aby pomóc zidentyfikować luki w zabezpieczeniach sieci i usług Xbox Live. W opublikowanym w czwartek poście na blogu firma stwierdziła, że celem programu bounty jest „Aby odkryć istotne luki w zabezpieczeniach, które mają bezpośredni i możliwy do udowodnienia wpływ na bezpieczeństwo klientów firmy Microsoft”, a kwalifikujące się zgłoszenia będą kwalifikować się do nagród w wysokości od 500 do 20 000 USD.
Podobnie jak w przypadku większości programów typu bug bounty, luki w zabezpieczeniach muszą być wcześniej niezgłaszane i muszą być odtwarzalne w najnowszej, w pełni załatanej wersji sieci i usług Xbox Live firmy w momencie zgłoszenia. Będą musiały również bezpośrednio wpływać na bezpieczeństwo użytkowników Xbox, co oznacza, że błędy w zdalnym wykonywaniu kodu, które są na szczycie stosu pod względem wagi, przyniosą maksymalną nagrodę. Inne, takie jak podniesienie uprawnień, omijanie funkcji bezpieczeństwa i fałszowanie, przyniosą mniejsze nagrody od 1000 do 5000 USD.
Luki poza zakresem obejmują problemy typu Denial of Service, ponieważ będą wymagały od badaczy przeprowadzania testów DoS / DDoS, co będzie zakłócać usługi firmy. Firma twierdzi również, że ujawnianie informacji po stronie serwera, błędy CSRF o niewielkim wpływie, przejęcia subdomen, luki w odtwarzaniu plików cookie, podstawowe przekierowania adresów URL i wszystko, co obejmuje phishing lub ataki socjotechniczne na pracowników lub klientów Microsoft, również nie kwalifikuje się do nagród w ramach program.
Program nagród za błędy Xbox pojawia się zaledwie kilka miesięcy po tym, jak firma wprowadziła podobny program dla swojej przeglądarki Edge opartej na Chromium, z nagrodami w wysokości do 30000 USD dla badaczy cyberbezpieczeństwa, którzy mogą znaleźć luki w kanałach Dev i Beta oprogramowania . Firma uruchamia również szereg innych tego typu programów dla systemów Windows, Office, .NET i innych, ale najwyższe nagrody są zarezerwowane dla raportów dotyczących luk w usługach w chmurze Azure i serwerów wirtualizacji Hyper-V.