Program Bug Bounty Microsoft Kini Mencakup Semua Celah yang Berdampak pada Layanan Online

Microsoft resmi memperluas cakupan program bug bounty miliknya dengan memberikan imbalan kepada peneliti keamanan yang menemukan kerentanan kritis pada seluruh layanan online Microsoft, tanpa memandang apakah kode yang terdampak dikembangkan oleh Microsoft sendiri atau pihak ketiga.

Perubahan kebijakan ini diumumkan dalam ajang Black Hat Europe oleh Tom Gallagher, Vice President of Engineering di Microsoft Security Response Center. Menurutnya, pelaku serangan siber tidak membedakan asal kode saat mengeksploitasi celah keamanan, sehingga pendekatan perlindungan juga harus mencakup seluruh komponen yang digunakan dalam layanan Microsoft.

Dengan kebijakan baru ini, seluruh layanan online Microsoft secara otomatis masuk dalam cakupan program bug bounty sejak pertama kali dirilis. Tidak hanya itu, kerentanan pada dependensi pihak ketiga, baik komponen komersial maupun open source, juga memenuhi syarat untuk mendapatkan bounty selama berdampak langsung pada layanan online Microsoft.

Gallagher menegaskan bahwa mulai saat ini, setiap kerentanan kritis yang terbukti memiliki dampak nyata terhadap layanan online Microsoft akan memenuhi syarat untuk mendapatkan imbalan. Hal tersebut berlaku terlepas dari siapa pemilik atau pengelola kode, termasuk jika berasal dari proyek open source. Microsoft berkomitmen untuk melakukan mitigasi penuh terhadap setiap temuan yang memenuhi kriteria tersebut.

Langkah ini bertujuan mendorong riset keamanan pada area dengan risiko tertinggi, khususnya bagian sistem yang paling berpotensi dieksploitasi oleh aktor ancaman. Microsoft juga ingin memastikan bahwa kontribusi komunitas peneliti keamanan tetap dihargai, bahkan pada area yang sebelumnya tidak memiliki program bounty khusus.

Dalam 12 bulan terakhir, Microsoft telah membayarkan lebih dari 17 juta dolar AS kepada 344 peneliti keamanan. Pada periode sebelumnya, perusahaan juga menggelontorkan sekitar 16,6 juta dolar AS kepada 343 peneliti. Angka ini mencerminkan peningkatan fokus Microsoft terhadap kolaborasi dengan komunitas keamanan global.

Pengumuman ini merupakan bagian dari Secure Future Initiative, sebuah inisiatif strategis Microsoft untuk menempatkan keamanan sebagai prioritas utama di seluruh lini operasional perusahaan. Melalui inisiatif yang sama, Microsoft telah menonaktifkan seluruh kontrol ActiveX pada aplikasi Microsoft 365 dan Office 2024 versi Windows.

Selain itu, pengaturan keamanan default Microsoft 365 juga diperbarui untuk memblokir akses ke SharePoint, OneDrive, dan file Office melalui protokol autentikasi lama. Dalam perkembangan terbaru, Microsoft mulai meluncurkan fitur Teams yang mampu memblokir upaya tangkapan layar selama rapat, serta mengumumkan rencana pengamanan proses masuk Entra ID dari serangan injeksi skrip.