Vorige week maakte security bedrijf iDefense bekend dat het 10.000 dollar heeft uitgeloofd aan de vinder van een ernstig lek in Windows. Onderzoekers hebben tot 31 maart de tijd om de Windows kwetsbaarheid te vinden en op te sturen naar het bedrijf. Beschouwt Microsoft het lek als "critical", dan wordt het geldbedrag uitgekeerd.

De uitbreiding van het Vulnerability Contributor Programma, een project waarbij onderzoekers voor lekken betaald worden, zal elk kwartaal naar een andere kwetsbaarheid zoeken, en is niet specifiek op Microsoft gericht. Toch is de softwaregigant niet blij met het beloningsprogramma. "We denken niet dat het betalen voor security lekken de beste manier is waarop onderzoekers kunnen helpen bij het beschermen van klanten".

"Responsible disclosure" zou volgens Microsoft bestaan uit het inlichten van de betrokken software aanbieder, en het lek pas bekend maken als er een update beschikbaar is. Michael Sutton van iDefense is echter van mening dat het programma juist wel meehelpt met het verantwoordelijk bekend maken van lekken en voorkomt dat informatie over zero-day lekken in handen van kwaadwillenden valt.