Microsoft провела первый Zero Day Quest: исследователи нашли сотни уязвимостей и заработали миллионы

В апреле Microsoft организовала крупнейшее очное соревнование по поиску уязвимостей — Zero Day Quest. Это первый подобный конкурс в истории компании, в котором приняли участие специалисты по информационной безопасности со всего мира. Главной задачей стало выявление уязвимостей в сервисах компании, включая облачную инфраструктуру и ИИ-инструменты Copilot.

Участникам предложили сфокусироваться на сценариях, которые потенциально могли бы привести к серьёзным последствиям. Сбор заявок и предварительный отбор начались заранее. По итогам квалификации более сотни специалистов были приглашены в финал, который прошёл в Редмонде.

За несколько дней было отправлено свыше 600 отчётов об уязвимостях. На момент публикации компания выплатила более 1,6 млн долларов участникам, остальные находки пока на стадии анализа. Призовой фонд конкурса мог достигнуть 4 миллионов долларов.

В рамках Zero Day Quest проводились не только практические задания в духе «capture the flag», но и воркшопы с инженерами Microsoft. Участники прошли тренинг по поиску уязвимостей в ИИ, разобрали кейсы SSRF и получили рекомендации от специалистов, занимающихся программами вознаграждения за баги.

По итогам мероприятия компания объявила о двух новых инициативах. Первая — удвоенные выплаты за критические уязвимости в системах Copilot. Вторая — сам Zero Day Quest станет ежегодным. Организаторы обещают ещё больше практики, взаимодействия с командой разработчиков и доступ к нестандартным сценариям тестирования.

Конкурс проходит в рамках более широкой стратегии Secure Future Initiative, направленной на создание безопасных продуктов — с закладкой защиты на всех этапах: от архитектуры до эксплуатации. В 2023 году Microsoft уже выплатила более 16 миллионов долларов в рамках своей глобальной программы поощрения ответственного раскрытия уязвимостей.