Microsoft heeft 2,3 miljoen dollar uitbetaald aan securityonderzoekers na bijna 700 inzendingen tijdens de Zero Day Quest hackingwedstrijd van dit jaar. Tijdens het live event op de campus in Redmond werden meer dan 80 kwetsbaarheden met grote impact op cloud- en AI-beveiliging ontdekt, aldus Tom Gallagher, Vice President Engineering bij het Microsoft Security Response Center (MSRC) zoals Gallagher verklaarde.

De 2026-editie van Zero Day Quest bracht een internationale groep onderzoekers samen uit meer dan 20 landen, variërend van middelbare scholieren tot hoogleraren. Alle tests vonden plaats binnen geautoriseerde omgevingen volgens de regels van Microsoft, waarbij de onderzoekers de potentiële impact aantoonden zonder toegang te krijgen tot klantgegevens of systemen van andere tenants. Binnen deze kaders werden kritieke kwetsbaarheden geïdentificeerd, waaronder blootstelling van credentials, SSRF-ketens en cross-tenant toegang.

Microsoft kondigde vorig jaar augustus aan dat het prijzengeld voor Zero Day Quest 2026 zou stijgen naar 5 miljoen dollar, waarmee het de grootste hackingwedstrijd ooit wil faciliteren zoals eerder door Gallagher werd toegelicht. De editie van 2025 leverde ook al een grote deelname op, met een totaal van 1,6 miljoen dollar aan uitbetaalde beloningen na meer dan 600 kwetsbaarheidsrapporten zoals Microsoft toen bekendmaakte.

Zero Day Quest maakt deel uit van Microsofts Secure Future Initiative (SFI), een cybersecurityprogramma dat in november 2023 werd gestart na een kritisch rapport van de Cyber Safety Review Board van het Amerikaanse Department of Homeland Security. Dit rapport concludeerde dat de beveiligingscultuur van Microsoft "ontoereikend" was en een grondige herziening vereiste. Gallagher benadrukte dat Microsoft kwetsbaarheden transparant deelt via het CVE-programma, ook als er geen directe actie van klanten nodig is. De inzichten uit Zero Day Quest worden binnen Microsoft gebruikt om de beveiliging van cloud- en AI-producten te verbeteren, in lijn met de kernprincipes van SFI: beveiliging standaard, vanaf ontwerp en tijdens de operatie.