In tegenstelling tot Google, Mozilla en andere grote softwarebedrijven die hackers en beveiligingsonderzoekers voor het melden van beveiligingslekken in de eigen software betalen, beloont Microsoft deze mensen op een andere manier. Het gebruik van beloningsprogramma's voor het rapporteren van kwetsbaarheden wordt inmiddels door verschillende partijen toegepast.

Ook in de software van Microsoft worden regelmatig door externe partijen problemen gevonden. Die hoeven echter niet op een directe financiële beloning te wachten, want Microsoft heeft geen beloningsprogramma voor lekken.

De softwaregigant heeft zich altijd tegen het zelf opzetten van dit soort programma's uitgesproken. Toch heeft Microsoft met veel onderzoekers een goede band. Naast een vermelding in de Security Bulletins en een bedankpagina, kan het melden van lekken aan Microsoft zich namelijk op een andere manier uitbetalen.

Talent
"We belonen individueel talent op andere manieren, door contracten aan te bieden voor penetratietests van producten die in ontwikkeling zijn", zegt Katie Moussouris, hoofd van Microsoft’s Security Community en Strategy Team. "Sterker nog, veel van onze huidige pentest-contracten zijn opgezet voor onderzoekers die hun talent toonden door problemen direct aan Microsoft te rapporteren."

In sommige gevallen worden hackers zelfs door Microsoft aangenomen. "Veel talent uit de onderzoekersgemeenschap werkt hier, en we zoeken altijd naar nieuw talent." Daarnaast sponsort Microsoft ook allerlei beveiligingsconferenties en loofde het dit jaar 260.000 dollar uit voor de BlueHat Prize, waar hackers allerlei beveiligingsideeën konden aandragen.