A Microsoft disse nesta quinta (22/07) que não irá adotar a política da Mozilla e da Google de remunerar pesquisadores que a comuniquem sobre vulnerabilidades.
"Não acreditamos que esse sistema é a melhor maneira de compensar os pesquisadores", disse Mike Reavey, diretor do Centro de Pesquisa em Segurança da Microsoft (MSRC).
Semana passada, a Mozzila aumentou o pagamento por comunicação de falhas críticas e severas no Firefox para US$ 3 000. Dias antes, a Google disse que paga até US$ 3 133 por descoberta de vulnerabilidades no navegador Chrome.
"Nem todos os pesquisadores são motivados financeiramente", disse Reavey. Ele também disse que a Microsoft os compensa de outras maneiras, como patrocinando conferências de segurança e até oferecendo vagas em sua equipe de pesquisa.
"Há várias maneiras de trabalharmos com a comunidade de segurança", disse Reavey, "que não envolve dinheiro diretamente".
Mas é exatamente isso que a empresa deveria estar fazendo, disseram especialistas.
"Claro que gostaríamos de vê-los fazendo isso", disse Jeremiah Grossman, CTO da White Hat Security.
"Que diferença faz para a Microsoft se eles pagam US$1 000, US$ 5 000, até US$ 10 000 para ´comprar´ uma vulnerabilidade", disse. "Eles tem um lucro bilionário".
Pesquisadores disseram que pagar pelas descobertas é uma maneira segura de evitar o perigo de uma divulgação prematura, poupando uma empresa de todo o tempo e dinheiro necessários para investigar um problema, ou a dor de cabeça quando um bug é divulgado antes que haja um patch disponível.
"Grandes empresas como a Microsoft têm sido historicamente contrárias ao modelo de recompensas", disse Dino Dai Zovi, consultor de segurança e pesquisador. "Eu adoraria se eles seguissem o modelo da Mozilla e da Google", afirmou.
Fonte: IdGNow