Marți, 17 iuliea, A anunțat Microsoft Programul de recompensă pentru identitate ceea ce plasează o recompensă premium pentru cercetătorii și vânătorii de erori care descoperă orice vulnerabilități legate de securitate în serviciile sale de identitate.
Potrivit lui Phillip Misner , Manager principal al grupului de securitate al Microsoft Security Response Center, Microsoft a investit puternic în confidențialitatea și securitatea soluțiilor sale de identitate pentru consumatori și întreprinderi și sa concentrat pe îmbunătățirea constantă a autentificării puternice, sesiunilor de conectare securizată, securității API și astfel de sarcini critice legate de infrastructură. El a comentat: „Am investit puternic în crearea, implementarea și îmbunătățirea specificațiilor legate de identitate care promovează autentificarea puternică, conectarea sigură, sesiunile, securitatea API și alte sarcini critice de infrastructură, ca parte a comunității de experți în standarde. în cadrul organismelor oficiale de standardizare precum IETF, W3C sau Fundația OpenID. ”
Acest program a fost lansat pentru a se asigura că această tehnologie critică rămâne cât mai sigură posibil pentru utilizatori. Oferă cercetătorilor de bug și securitate șansa de a dezvălui vulnerabilitățile din serviciile de identitate către Microsoft în mod privat. Acest lucru va permite companiei să rezolve problema înainte de publicarea detaliilor sale tehnice.
Detalii de plată
Plățile pentru acest program de recompense vor varia de la 500 la 100.000 de dolari, ceea ce depinde de impactul bug-ului descoperit de cercetători.
| Trimiterea de înaltă calitate | Prezentarea de bază a calității | Trimiterea incompletă | |
| Bypass de autentificare semnificativ | Până la 40.000 de dolari | Până la 10.000 USD | De la 1.000 USD |
| Bypass de autentificare multi-factor | Până la 100.000 USD | Până la 50.000 de dolari | De la 1.000 USD |
| Standardele proiectează vulnerabilități | Până la 100.000 USD | Până la 30.000 de dolari | De la 2.500 USD |
| Vulnerabilități de implementare bazate pe standarde | Până la 75.000 de dolari | Până la 25.000 de dolari | De la 2.500 USD |
| Cross-Site Scripting (XSS) | Până la 10.000 USD | Până la 4.000 USD | De la 1.000 USD |
| Falsificare de cereri între site-uri (CSRF) | Până la 20.000 de dolari | Până la 5.000 USD | De la 500 USD |
| Defecțiune de autorizare | Până la 8.000 de dolari | Până la 4.000 USD | De la 500 USD |
Criterii pentru o depunere eligibilă
Trimiterile de vulnerabilitate trimise către Microsoft trebuie îndeplinesc criteriile date :
- Identificați o vulnerabilitate critică sau importantă originală și nedeclarată anterior care se reproduce în serviciile noastre Microsoft Identity listate în sfera de aplicare.
- Identificați o vulnerabilitate originală și neraportată anterior care are ca rezultat preluarea unui cont Microsoft sau a unui cont Azure Active Directory.
- Identificați o vulnerabilitate originală și nedeclarată anterior în standardele OpenID enumerate sau cu protocolul implementat în produsele, serviciile sau bibliotecile noastre certificate.
- Trimiteți împotriva oricărei versiuni a aplicației Microsoft Authenticator, dar premiile recompense vor fi plătite numai dacă bug-ul se reproduce față de cea mai recentă versiune disponibilă publicului.
- Includeți o descriere a problemei și pași de reproductibilitate concisă care sunt ușor de înțeles. (Aceasta permite procesarea trimiterilor cât mai repede posibil și acceptă cea mai mare plată pentru tipul de vulnerabilitate raportat.)
- Includeți impactul vulnerabilității
- Includeți un vector de atac dacă nu este evident
- Pentru aplicațiile mobile, cercetarea vulnerabilității trebuie reprodusă pe cea mai recentă și actualizată versiune a sistemului de operare și a aplicației mobile.
De asemenea, eroarea descoperită trebuie să afecteze oricare dintre următoarele instrumente:
- windows.net
- microsoftonline.com
- live.com
- live.com
- windowsazure.com
- activedirectory.windowsazure.com
- activedirectory.windowsazure.com
- office.com
- microsoftonline.com
- Microsoft Authenticator (aplicații iOS și Android) *
- Fundația OpenID - Familia OpenID Connect
- OpenID Connect Core
- OpenID Connect Discovery
- Sesiune de conectare OpenID
- OAuth 2.0 Tipuri multiple de răspuns
- Tipuri OAuth 2.0 Post Tipuri de răspuns
Programul are sens, având în vedere că are milioane de utilizatori înregistrați în întreaga lume.
Pot fi obținute mai multe detalii despre program, inclusiv criterii de plată, metode interzise de securitate a cercetării și criterii pentru depuneri neeligibile aici .
Etichete Microsoft
