**Microsoft** concedeu US$ 2,3 milhões a pesquisadores de segurança após receber quase 700 submissões durante o concurso de hacking Zero Day Quest deste ano. ### Vulnerabilidades de Alto Impacto Descobertas De acordo com **Tom Gallagher**, Vice-Presidente de Engenharia do **Microsoft** Security Response Center (**MSRC**), mais de 80 falhas encontradas durante o evento ao vivo no campus da **Microsoft** em Redmond eram vulnerabilidades de alto impacto em segurança de nuvem e IA. "Durante o evento de live hacking de 2026, a **Microsoft** fez parceria com a comunidade global de pesquisa de segurança, representando mais de 20 países e uma ampla gama de formações profissionais, desde estudantes do ensino médio até professores universitários", disse Gallagher. Os pesquisadores realizaram todos os testes em ambientes autorizados, de acordo com as Regras de Engajamento da **Microsoft**, demonstrando impacto potencial sem acessar dados de clientes ou outros sistemas de inquilinos. Dentro dessas restrições, os pesquisadores identificaram caminhos críticos envolvendo exposição de credenciais, cadeias SSRF e acesso cross-tenant. ### Aumento do Pool de Prêmios e Participação Em agosto passado, a **Microsoft** anunciou que aumentaria o pool de prêmios no concurso de hacking Zero Day Quest deste ano para US$ 5 milhões em recompensas, que a empresa descreveu como "o maior evento de hacking da história". O Zero Day Quest de 2025 também gerou participação significativa da comunidade de segurança, após a oferta da **Microsoft** de US$ 4 milhões em recompensas por vulnerabilidades em produtos e plataformas de nuvem e IA. Após o término da competição de hacking, a **Microsoft** anunciou que pagou US$ 1,6 milhão em recompensas após receber mais de 600 submissões de vulnerabilidades. ### Secure Future Initiative (SFI) O concurso Zero Day Quest faz parte da Secure Future Initiative (**SFI**) da **Microsoft**, um esforço de engenharia de cibersegurança lançado em novembro de 2023, após um relatório contundente do Cyber Safety Review Board do Departamento de Segurança Interna dos EUA, que considerou a cultura de segurança da empresa "inadequada" e necessitando de "uma reformulação". "Como parte de nossa Secure Future Initiative (SFI), compartilharemos transparentemente vulnerabilidades críticas por meio do programa CVE, mesmo que nenhuma ação do cliente seja necessária", disse Gallagher em agosto. "Os aprendizados do Zero Day Quest serão compartilhados em toda a **Microsoft** para ajudar a melhorar a segurança de Nuvem e IA, alinhados com os princípios centrais da SFI: segurança por padrão, por design e em operações." No início daquele mês, a **Microsoft** anunciou que pagou um recorde de US$ 17 milhões a 344 pesquisadores de segurança em 59 países por meio de seu programa de recompensa por bugs entre julho de 2024 e junho de 2025. Em dezembro, também anunciou que os pesquisadores de segurança seriam pagos por encontrar vulnerabilidades críticas em qualquer um dos serviços online da **Microsoft**, mesmo que um terceiro tenha escrito o código vulnerável.