Con Xbox Live en plena explosión de usuarios, Microsoft está más preocupada que nunca por la seguridad de su plataforma de juego online. La aparición de tramposos puede erosionar su atractivo, tanto como el lanzamiento de ataques contra servidores y sesiones de juego con el fin de romper la jugabilidad o dar la vuelta a la partida cuando las cosas no están yendo como alguien cree que deberían ir. Por este motivo, la firma de Redmond ha creado un nuevo programa de caza de bugs.
Como otras iniciativas similares, Microsoft ha estructurado un programa de premios económicos en función de la gravedad del fallo. Las recompensas parten de los 500 dólares concedidos por los bugs más leves y puede llegar a alcanzar los 20.000 dólares. La estructura se organiza por gravedad del fallo (baja, moderada, importante o crítica), así como la calidad del informe entregado a Microsoft para su investigación y parcheo (baja, media o alta).
Microsoft, que ha abierto una página de información general para los investigadores y simples usuarios que puedan querer participar en la iniciativa, contempla siete posibles tipos de bug a reportar: modificaciones (tampering), suplantación (spoofing), revelación de información, fallos que permitan esquivar funciones de seguridad, aquellos que permitan los ataques por escalada de privilegios y los utilizados para ejecutar código de forma remota.
La estructura de recompensas sigue ese mismo orden, yendo desde los 1.000 a 5.000 dólares por los fallos relacionados con las modificaciones de código o información no autorizadas a los 5.000 a 20.000 dólares por reportar un fallo que permita la ejecución remota de código, con mucha diferencia (y por más de un motivo) uno de los fallos más temidos por Microsoft.
Por razones obvias, la caza de bugs de Microsoft prohíbe prácticas como el lanzamiento de posibles ataques de denegación de servicio o el testeo automatizado que aumente el tráfico de Xbox Live. Tampoco se admiten informes que requieran el acceso a información que no sea propiedad del usuario a cargo del reporte. Asimismo, es necesario dar más información que la mínima prueba posible pare realizar una prueba de concepto. Finalmente, se prohíbe el uso de phising e ingeniería social contra empleados de Microsoft y usuarios de Xbox.
De igual forma, algunos bugs se quedan por ahora fuera del alcance del programa. Además de las posibles brechas que faciliten el lanzamiento de ataques DoS, cuyo testeo está directamente prohibido, tampoco se admite la búsqueda de ciertas vulnerabilidades relacionadas con cookies, redirecciones de URL, así como aquellas que requieran acciones particularmente difíciles de realizar por los usuarios o que utilicen otros programas y servicios de Microsoft, tal es el caso de GamePass. Este tipo de bugs serán por ahora atajados internamente por Microsoft.
