A Microsoft lançou o Zero Day Quest, um novo evento de hackers com foco em IA e segurança na nuvem, oferecendo um total de US$ 4 milhões em recompensas para pesquisadores de segurança. Anunciada na conferência Ignite em Chicago, esta iniciativa expande os programas de recompensa de bugs da Microsoft para melhorar a segurança da IA e promover a colaboração entre a comunidade de segurança cibernética e as equipes de engenharia da Microsoft.
O desafio de hacking Zero Day Quest da Microsoft oferece US$ 4 milhões em recompensas
Missão de Dia Zero começa com um desafio de pesquisa aberto a todos os participantes onde podem submeter vulnerabilidades para cenários específicos. Este desafio vai de 19 de novembro de 2024 a 19 de janeiro de 2025 e permite que inscrições bem-sucedidas ganhem prêmios de recompensa multiplicados, potencialmente qualificando-os para um evento de hacking no local somente para convidados no próximo ano em Redmond, Washington. Além disso, a Microsoft está incentivando o relato de vulnerabilidades de IA, oferecendo recompensas duplas e facilitando o acesso direto aos seus engenheiros de IA e ao AI Red Team para os pesquisadores participantes.
Tom Gallagher, vice-presidente de engenharia do Microsoft Security Response Center (MSRC), enfatizou a importância do evento, afirmando: “Este novo evento de hackers será o maior do gênero”, destacando que foi projetado para unir as principais mentes da segurança para compartilhar conhecimento e melhorar a segurança geral nos setores de nuvem e IA. Esta iniciativa está alinhada com a Secure Future Initiative (SFI) da Microsoft, um compromisso de engenharia de segurança cibernética lançado em novembro de 2023, que visa melhorar as medidas de segurança em seus produtos em meio ao crescente escrutínio sobre sua cultura de segurança.
A expansão das iniciativas de segurança da Microsoft surge à luz de vários desafios de segurança cibernética, incluindo incidentes recentes em que a empresa foi vítima de ataques. Notavelmente, em maio de 2023, hackers chineses violaram a plataforma de e-mail Exchange baseada na nuvem da Microsoft, levando ao roubo de mais de 60.000 e-mails de contas do Departamento de Estado dos EUA. Este incidente, juntamente com outros ataques generalizados que exploram vulnerabilidades como ProxyShell, ProxyNotShell e ProxyLogon, levou a empresa a reavaliar e melhorar a sua infra-estrutura de segurança.
Como parte da Secure Future Initiative (SFI), a Microsoft pretende partilhar informações vitais sobre vulnerabilidades críticas através do programa Common Vulnerabilities and Exposures (CVE), mesmo que a ação do cliente não seja necessária. A iniciativa envolveu o equivalente a 34.000 engenheiros em tempo integral focados em desafios de segurança de alta prioridade, ressaltando o compromisso da empresa com uma abordagem colaborativa à segurança cibernética.
A Microsoft incentiva os usuários a atualizar o Windows após vulnerabilidades de dia zero
Maior apoio aos investigadores
Oferecer suporte e recursos aprimorados para pesquisadores de segurança é um tema central do Zero Day Quest. O programa incentiva a comunidade de segurança a se envolver ativamente com os engenheiros da Microsoft enquanto trabalha em colaboração para identificar e mitigar vulnerabilidades na IA e na infraestrutura em nuvem. A duplicação dos prémios de recompensa para vulnerabilidades relacionadas com a IA representa um reconhecimento da importância crescente de proteger as tecnologias de IA, onde os riscos podem ter implicações mais amplas.
David Weston, vice-presidente de segurança empresarial e de sistema operacional da Microsoft, reiterado a direção estratégica da empresa, afirmando que as lições aprendidas com o Zero Day Quest contribuirão para melhorar a IA e a segurança da nuvem, garantindo que tais desenvolvimentos priorizem a segurança e a confiabilidade.
Crédito da imagem em destaque: Salah Darwish/Unsplash
