No último dia 24 de março, a empresa anunciou o lançamento de um programa de bug bounty para a versão desktop do Microsoft Teams. Através desse programa, a Microsoft convida a comunidade de pesquisadores de segurança a participar de prêmios de até US$ 30.000 para quem descobrir falhas de segurança no aplicativo.

O Teams é o primeiro de outros aplicativos que farão parte do novo programa de bug bounty, chamado Microsoft Applications Bounty Program, que depois integrará outros aplicativos da Microsoft à lista, disse Lynn Miyashita, líder do programa de recompensas por meio de uma postagem na qual anuncia o programa.

Em um artigo publicado anteriormente, explicamos como esses programas de bug bounty funcionam. Essas iniciativas permitem que qualquer pessoa possa colocar suas habilidades à prova, ao mesmo tempo que também contribui para melhorar a segurança digital e receber um dinheiro extra em troca. É uma estratégia que muitas empresas usam para melhorar a sua própria segurança e que os especialistas também aproveitam para ganhar dinheiro fazendo o que amam. Há alguns anos, alguns jovens ganharam mais de um milhão de dólares por meio de programas de bug bounty.

Esse novo programa da Microsoft apresenta cinco cenários, com as maiores recompensas relacionadas às vulnerabilidades com maior potencial de exposição de informações pessoais dos usuários. Neste caso, os valores variam de US$ 6.000 a US$ 30.000.

As vulnerabilidades de execução remota de código (RCE) sem a necessidade de interação do usuário podem valer até US$ 30.000. Vulnerabilidades que permitem obter credenciais de autenticação podem ter a recompensa de até US$ 15.000, enquanto vulnerabilidades de cross site scripting (XSS) ou outras formas de injeção de código remoto que permitem que scripts arbitrários sejam executados no Teams sem a necessidade de interação do usuário podem valer até US$ 10.000.

Por outro lado, os participantes que descobrirem outras vulnerabilidades mais gerais identificadas no Microsoft Teams que não se enquadrem na categoria anterior, receberão recompensas que podem variar de US$ 500 a US$ 15.000.

Caso alguém identifique vulnerabilidades na versão on-line do Microsoft Teams, essas falhas podem ser relatadas por meio do Programa de Recompensas de Serviços On-line da Microsoft.

Miyashita esclarece que algumas das descobertas de falhas de segurança no Microsoft Teams poderão ser escolhidas para participar do programa de reconhecimento de pesquisadores que dobra o valor da recompensa, caso seja selecionada.

A popularidade do Microsoft Teams explodiu em 2020

Em 2020, o uso de ferramentas para o trabalho remoto cresceu significativamente como resultado da pandemia de Covid-19. Ferramentas como o Zoom, por exemplo, passaram de 10 milhões de usuários diários em dezembro de 2019 para 200 milhões em março de 2020. No caso do Microsoft Teams, a ferramenta ultrapassou a barreira de 115 milhões de usuários ativos diários em outubro de 2020, cifra que em abril do mesmo ano era de 75 milhões e em julho de 2019 era de 13 milhões de usuários ativos por dia.

Esse número de usuários também implica em maior responsabilidade e atenção aos aspectos de segurança, algo que a Microsoft parece estar fazendo ao lançar esse programa de bug bounty.

Os aplicativos e ferramentas de videoconferência e trabalho remoto que não estavam preparados para um salto tão repentino como o que ocorreu durante a pandemia sofreram alguns problemas de segurança durante 2020. Foi o caso do Zoom, um aplicativo que já em abril de 2020 tinha sofrido com a descoberta de várias falhas que afetaram a segurança e privacidade dos usuários e que surgiram como consequência da enorme exposição.

No caso do Microsoft Teams, durante 2020 apenas a identidade da ferramenta foi utilizada por cibercriminosos para enganar usuários em várias campanhas que buscavam, por exemplo, roubar credenciais de acesso ao Microsoft 365. A Microsoft também alertou sobre o uso de falsos instaladores de atualizações à ferramenta que buscou em uma instância final comprometer os computadores com o Cobalt Strike, enquanto dados da ESET mostraram o crescimento das detecções de arquivos maliciosos que usavam o nome de Microsoft Teams - e de outros aplicativos para realizar videoconferências - no primeiro metade de 2020.

Para obter mais informações, visite a página do Microsoft Applications Bounty Program.