Tirsdag 17. julith, Microsoft kunngjorde sin Identity Bounty Program som gir en premiebelønning for bugforskere og jegere som oppdager sikkerhetsrelaterte sårbarheter i identitetstjenestene.
I følge Phillip Misner , Hovedansvarlig sikkerhetsgruppesjef i Microsoft Security Response Center, Microsoft har investert mye i personvern og sikkerhet for sine forbruker- og bedriftsidentitetsløsninger og har fokusert på konstant forbedring av sterk autentisering, sikker påloggingsøkt, API-sikkerhet og slike kritiske infrastrukturrelaterte oppgaver. Han kommenterte: “Vi har investert sterkt i opprettelse, implementering og forbedring av identitetsrelaterte spesifikasjoner som fremmer sterk autentisering, sikker pålogging, økter, API-sikkerhet og andre kritiske infrastrukturoppgaver, som en del av fellesskapet av standardeksperter. innenfor offisielle standardiseringsorganer som IETF, W3C eller OpenID Foundation. ”
Dette programmet er lansert for å sikre at denne kritiske teknologien forblir så sikker som mulig for brukerne. Det gir feil- og sikkerhetsforskerne sjansen for å avsløre sårbarheter i identitetstjenestene til Microsoft privat. Dette vil gjøre det mulig for selskapet å løse problemet før publisering av tekniske detaljer.
Betal ut detaljer
Utbetalingene for dette dusørprogrammet vil variere fra $ 500 til $ 100.000, noe som avhenger av virkningen av feilen som forskerne har funnet.
| Innlevering av høy kvalitet | Baseline Quality Submission | Ufullstendig innsending | |
| Betydelig autentiseringsomgåelse | Opptil $ 40.000 | Opptil $ 10.000 | Fra $ 1000 |
| Flerfaktorautentisering Bypass | Opptil $ 100.000 | Opptil $ 50.000 | Fra $ 1000 |
| Standard sårbarheter | Opptil $ 100.000 | Opptil $ 30.000 | Fra $ 2500 |
| Standardbaserte implementeringssårbarheter | Opptil $ 75.000 | Opptil $ 25.000 | Fra $ 2500 |
| Cross-Site Scripting (XSS) | Opptil $ 10.000 | Opptil $ 4000 | Fra $ 1000 |
| Forfalskning på tvers av nettsteder (CSRF) | Opptil $ 20.000 | Opptil $ 5000 | Fra $ 500 |
| Autorisasjonsfeil | Opptil $ 8000 | Opptil $ 4000 | Fra $ 500 |
Kriterier for en berettiget innsending
Sårbarhetsinnleveringene som sendes til Microsoft må oppfyller gitte kriterier :
- Identifiser en original og tidligere urapportert kritisk eller viktig sårbarhet som gjengis i våre Microsoft Identity-tjenester som er oppført innenfor omfanget.
- Identifiser et originalt og tidligere rapportert sårbarhet som resulterer i overtakelse av en Microsoft-konto eller Azure Active Directory-konto.
- Identifiser et originalt og tidligere urapportert sårbarhet i listede OpenID-standarder eller med protokollen implementert i våre sertifiserte produkter, tjenester eller biblioteker.
- Send inn mot en hvilken som helst versjon av Microsoft Authenticator-applikasjonen, men belønninger blir kun utbetalt hvis feilen reproduseres mot den nyeste, offentlig tilgjengelige versjonen.
- Inkluder en beskrivelse av problemet og konsise reproduserbarhetstrinn som er lett forståelige. (Dette gjør at innsendinger kan behandles så raskt som mulig og støtter den høyeste betalingen for den typen sårbarhet som rapporteres.)
- Inkluder virkningen av sårbarheten
- Inkluder en angrepsvektor hvis ikke åpenbar
- For mobilapplikasjoner må sårbarhetsundersøkelser gjengis på den nyeste og oppdaterte versjonen av mobil-operativsystemet og -appen.
Også den oppdagede feilen må påvirke et av følgende verktøy:
- windows.net
- microsoftonline.com
- live.com
- live.com
- windowsazure.com
- activedirectory.windowsazure.com
- activedirectory.windowsazure.com
- office.com
- microsoftonline.com
- Microsoft Authenticator (iOS- og Android-applikasjoner) *
- OpenID Foundation - OpenID Connect-familien
- OpenID Connect Core
- OpenID Connect Discovery
- OpenID Connect-økt
- OAuth 2.0 Flere svarstyper
- OAuth 2.0 Form Svar Svarstyper
Programmet gir mening, gitt at det har millioner av registrerte brukere over hele verden.
Mer informasjon om programmet, inkludert betalingskriterier, forbudte sikkerhetsmetoder for forskning og kriterier for ikke-kvalifiserte innleveringer, kan fås her .
Merker Microsoft
