ไมโครซอฟท์ใจป้ำ! ทุ่มกว่า 630 ล้านบาทให้นักวิจัยความปลอดภัยทั่วโลก ค้นหาช่องโหว่ก่อนแฮกเกอร์เจอ

ไมโครซอฟท์คือหนึ่งในบริษัทเทคโนโลยีรายใหญ่ที่แสดงให้เห็นอย่างชัดเจนว่า “ความปลอดภัย” ไม่ใช่แค่เรื่องภายในองค์กรเท่านั้น แต่คือความร่วมมือระดับโลก ล่าสุด ไมโครซอฟท์ประกาศว่าในรอบปีที่ผ่านมา บริษัทได้จ่ายเงินรางวัลให้กับนักวิจัยภายนอกที่ค้นพบช่องโหว่ในระบบ รวมทั้งสิ้นมากกว่า 17 ล้านดอลลาร์สหรัฐฯ หรือราว 630 ล้านบาท ซึ่งนับเป็นตัวเลขสูงสุดนับตั้งแต่เริ่มโครงการ bug bounty ของบริษัทเมื่อปี 2018

ในช่วงระหว่างเดือนกรกฎาคม 2024 ถึงมิถุนายน 2025 ไมโครซอฟท์ได้รับรายงานช่องโหว่ที่ผ่านเกณฑ์จำนวน 1,469 รายการ จากนักวิจัยกว่า 344 คนใน 59 ประเทศทั่วโลก ช่องโหว่เหล่านี้นำไปสู่การแก้ไขปัญหาในผลิตภัณฑ์สำคัญมากกว่า 1,000 จุด ครอบคลุมบริการหลักของบริษัทอย่าง Azure, Microsoft 365, Dynamics 365, Power Platform, Windows, Edge และแม้แต่ Xbox โดยมีนักวิจัยบางรายได้รับค่าตอบแทนสูงถึง 200,000 ดอลลาร์ หรือราว 7.4 ล้านบาท จากการค้นพบช่องโหว่ระดับวิกฤต

สิ่งที่น่าสนใจคือไมโครซอฟท์ไม่ได้หยุดอยู่แค่การตอบแทน แต่ยังมีการ “ขยายขอบเขต” การล่าบักไปยังเทคโนโลยีใหม่ ๆ โดยเฉพาะปัญญาประดิษฐ์ (AI) และระบบคลาวด์ ตัวอย่างเช่นในบริการ Copilot ที่เป็นระบบ AI ผู้ช่วยส่วนตัวของไมโครซอฟท์ ก็ได้เพิ่มขอบเขตการตรวจสอบทั้งในส่วนบริการออนไลน์และแอปแชตอย่าง WhatsApp และ Telegram พร้อมเพิ่มค่าตอบแทนแม้ในกรณีช่องโหว่ระดับปานกลาง เพื่อกระตุ้นให้นักวิจัยร่วมมือกันป้องกันก่อนเกิดภัยจริง

ในส่วนของ Windows ได้มีการปรับปรุงโปรแกรมให้รวมรางวัลสำหรับช่องโหว่แบบ Remote Denial-of-Service และการหลุดจาก sandbox บนเครื่อง ส่วนโปรแกรมด้านการระบุตัวตน (Identity) ก็ขยายไปยัง API ที่ใช้ในระดับองค์กร และโซลูชัน Microsoft Defender ก็เปิดรับการค้นหาช่องโหว่ในผลิตภัณฑ์ย่อยต่าง ๆ เช่น Defender for Identity, Defender for Office และ Defender for Cloud Applications

อีกหนึ่งโครงการที่ได้รับความสนใจในปีนี้คือ “Zero Day Quest” การแข่งขันค้นหาช่องโหว่แบบสดและผ่านระบบออนไลน์ โดยไมโครซอฟท์ตั้งงบรวมสูงถึง 5 ล้านดอลลาร์ (ราว 185 ล้านบาท) สำหรับปี 2025 โดยเฉพาะช่องโหว่ในระบบ AI และคลาวด์ หากตรวจพบจะได้รับเงินรางวัลเพิ่มอีก 50% จากอัตราปกติ นับเป็นกลยุทธ์ที่ชาญฉลาดในการสร้างแรงจูงใจและดึงดูดผู้เชี่ยวชาญจากทั่วโลกมาช่วยเสริมเกราะป้องกันระบบของบริษัท

พร้อมกันนี้ยังมีการอัปเดตโปรแกรมล่าบักสำหรับแพลตฟอร์ม .NET และ ASP.NET Core ด้วย โดยเพิ่มรางวัลสูงสุดเป็น 40,000 ดอลลาร์ สำหรับช่องโหว่ที่ทำให้สามารถรันโค้ดจากระยะไกล (remote code execution) หรือเพิ่มสิทธิ์ผู้ใช้งานโดยไม่ได้รับอนุญาต ช่องโหว่ทั่วไปประเภทอื่น ๆ ก็ได้รับการปรับค่าตอบแทนใหม่ตั้งแต่ 3,000–20,000 ดอลลาร์ ขึ้นอยู่กับความรุนแรงและรายละเอียดของรายงาน

ที่มา