A Microsoft disse nesta quinta (22/07) que não irá adotar a política da Mozilla e da Google de remunerar pesquisadores que a comuniquem sobre vulnerabilidades.

"Não acreditamos que esse sistema é a melhor maneira de compensar os pesquisadores", disse Mike Reavey, diretor do Centro de Pesquisa em Segurança da Microsoft (MSRC).

Semana passada, a Mozzila aumentou o pagamento por comunicação de falhas críticas e severas no Firefox para US$ 3 000. Dias antes, a Google disse que paga até US$ 3 133 por descoberta de vulnerabilidades no navegador Chrome.

"Nem todos os pesquisadores são motivados financeiramente", disse Reavey. Ele também disse que a Microsoft os compensa de outras maneiras, como patrocinando conferências de segurança e até oferecendo vagas em sua equipe de pesquisa.

"Há várias maneiras de trabalharmos com a comunidade de segurança", disse Reavey, "que não envolve dinheiro diretamente". 

Mas é exatamente isso que a empresa deveria estar fazendo, disseram especialistas.

"Claro que gostaríamos de vê-los fazendo isso", disse Jeremiah Grossman, CTO da White Hat Security.

"Que diferença faz para a Microsoft se eles pagam US$1 000, US$ 5 000, até US$ 10 000 para ´comprar´ uma vulnerabilidade", disse. "Eles tem um lucro bilionário".

Pesquisadores disseram que pagar pelas descobertas é uma maneira segura de evitar o perigo de uma divulgação prematura, poupando uma empresa de todo o tempo e dinheiro necessários para investigar um problema, ou a dor de cabeça quando um bug é divulgado antes que haja um patch disponível.