Microsoft обделила Positive Security компенсацией за найденную уязвимость

Четыре уязвимости в Microsoft Teams нашли немецкие исследователи безопасности из Positive Security, но не получили за это должного вознаграждения, 24 декабря сообщил Коммерсант.

Ошибки содержатся в функции предпросмотра ссылок — по клику пользователя программа открывает не ту ссылку, которую ждут. Это могут использовать злоумышленники для организации фишинговых атак и сокрытия вредоносных ссылок. Более того, пользователям систем Android следует опасаться за утечку IP-адресов.

Исследовательская компания сообщила о найденных ошибках Microsoft еще в марте, однако по состоянию на сегодняшний день исправлена только одна уязвимость. На запрос Коммерсанта, в Microsoft отметили, что знают о существовании этих уязвимостей, но «они не представляют непосредственной угрозы, требующей исправлений в системе безопасности».

В связи с недооценкой проблемы, Microsoft не стала выплачивать Positive Security всю необходимую для таких случаев сумму вознаграждения — $50 тысяч, — а была выплачена сумма $5 тысяч.