Microsoft ประกาศปรับปรุงและขยายขอบเขตของโปรแกรม Bug Bounty สำหรับแพลตฟอร์ม .NET และ ASP.NET Core โดยเพิ่มเงินรางวัลสูงสุดถึง 40,000 ดอลลาร์สหรัฐ หรือประมาณ 1.4 ล้านบาท สำหรับผู้ที่สามารถรายงานช่องโหว่ความปลอดภัยระดับร้ายแรงได้สำเร็จ
การปรับเปลี่ยนครั้งนี้เป็นส่วนหนึ่งของแผนงานด้านความปลอดภัย “Secure Future Initiative” (SFI) ซึ่งเปิดตัวเมื่อปลายปี 2023 เพื่อยกระดับมาตรฐานความปลอดภัยของผลิตภัณฑ์ทั้งหมดในเครือ
ขยายขอบเขต เพิ่มรางวัล กระตุ้นนักวิจัยด้านความปลอดภัย
คุณ Madeline Eckert ผู้จัดการอาวุโสฝ่าย Researcher Incentives and Bounty ของ Microsoft กล่าวว่า การปรับโปรแกรมในครั้งนี้ มีเป้าหมายเพื่อ “สะท้อนความซับซ้อนของการค้นหาและเจาะช่องโหว่บนแพลตฟอร์ม .NET ได้อย่างเป็นธรรมมากขึ้น” พร้อมระบุว่า
“เรายินดีที่จะประกาศการอัปเดตสำคัญของโปรแกรม .NET Bounty Program ที่ขยายขอบเขตให้ครอบคลุมมากขึ้น เรียบง่ายต่อการเข้าร่วม และให้ผลตอบแทนสูงสำหรับนักวิจัยที่มีความเชี่ยวชาญ”
รายละเอียดเงินรางวัลที่ปรับเพิ่ม
เริ่มตั้งแต่วันนี้เป็นต้นไป จะมีเงินรางวัลตามประเภทช่องโหว่ดังนี้:
- สูงสุด $40,000 (≈ 1.4 ล้านบาท) สำหรับช่องโหว่ระดับร้ายแรงประเภท Remote Code Execution (RCE) และ Privilege Escalation
- สูงสุด $30,000 (≈ 1.05 ล้านบาท) สำหรับช่องโหว่ที่สามารถ Bypass Security Features ได้
- สูงสุด $20,000 (≈ 700,000 บาท) สำหรับช่องโหว่ระดับร้ายแรงประเภท Remote Denial-of-Service (DoS)
ครอบคลุมเวอร์ชันและเทคโนโลยีที่เกี่ยวข้อง
โปรแกรม Bug Bounty นี้ไม่ได้จำกัดเฉพาะเวอร์ชันล่าสุดเท่านั้น แต่ยังขยายให้ครอบคลุมในหลายจุด อาทิ:
- ทุกเวอร์ชันของ .NET และ ASP.NET ที่ยังได้รับการสนับสนุน
- ภาษาที่เกี่ยวข้อง เช่น F#
- ASP.NET Core บน .NET Framework
- Template ที่จัดมาพร้อมกับ .NET และ ASP.NET Core
- GitHub Actions ที่อยู่ใน repository ของ .NET และ ASP.NET Core
นักวิจัยสามารถเลือกวิเคราะห์ช่องโหว่จากหลายมุมมอง รวมถึงระดับระบบ, โค้ด, และเวิร์กโฟลว์ DevOps บน GitHub
สะท้อนภาพรวมความพยายามด้านความปลอดภัย
การขยายโปรแกรม .NET Bounty นี้ถือเป็นส่วนหนึ่งของความพยายามที่ต่อเนื่อง ในการยกระดับความปลอดภัยของผลิตภัณฑ์ต่างๆ โดยก่อนหน้านี้:
- เมื่อต้นปี 2025 Microsoft ได้เพิ่มรางวัลบั๊กบน Power Platform และ Dynamics 365 ให้สูงสุด $30,000
- ในเดือนกุมภาพันธ์ ได้เพิ่มโบนัสอีก 100% สำหรับช่องโหว่ของ AI Copilot เพื่อจูงใจให้เกิดงานวิจัยด้าน AI Security
- และในงาน Ignite 2024 บริษัทได้เปิดตัวกิจกรรม Zero Day Quest งานแข่งขันแฮ็กแบบ Bug Bounty สำหรับแพลตฟอร์ม Cloud และ AI พร้อมเงินรางวัลรวมกว่า $4 ล้าน (≈ 140 ล้านบาท)
ที่มาของความเปลี่ยนแปลง: รายงานด้านความมั่นคงปลอดภัย
การผลักดัน SFI และการยกระดับโปรแกรม Bug Bounty ส่วนหนึ่งมาจากรายงานของ Cyber Safety Review Board (CSRB) ภายใต้กระทรวงความมั่นคงแห่งมาตุภูมิของสหรัฐ ที่ได้ระบุว่า “วัฒนธรรมความปลอดภัยของ Microsoft ยังไม่เพียงพอ และจำเป็นต้องมีการปรับปรุงอย่างจริงจัง”
สรุป: โอกาสทองของนักวิจัยความปลอดภัย
หากคุณเป็นผู้เชี่ยวชาญด้านความปลอดภัย และมีความเข้าใจลึกซึ้งเกี่ยวกับระบบ .NET, ASP.NET Core หรือเทคโนโลยีที่เกี่ยวข้อง ตอนนี้คือโอกาสดีที่จะได้ทั้ง:
- เงินรางวัลสูง
- การยอมรับจากชุมชนนักวิจัย
- และช่วยยกระดับความปลอดภัยของซอฟต์แวร์ที่ผู้ใช้งานทั่วโลกพึ่งพาอยู่ทุกวัน
ที่มา: bleepingcomputer
