V utorok 17. júlathMicrosoft oznámil svoje Program identity Bounty ktorá kladie prémiovú odmenu pre výskumníkov a lovcov chýb, ktorí v jej službách identity objavia chyby zabezpečenia súvisiace so zabezpečením.
Podľa Phillipa Misnera „Hlavný manažér skupiny zabezpečenia skupiny Microsoft Security Response Center, spoločnosť Microsoft intenzívne investovala do ochrany súkromia a bezpečnosti svojich riešení v oblasti ochrany spotrebiteľa a podnikovej identity a zamerala sa na neustále zlepšovanie silnej autentifikácie, relácií zabezpečeného prihlásenia, zabezpečenia API a úloh súvisiacich s dôležitou infraštruktúrou. Komentoval: „Intenzívne sme investovali do vytvárania, implementácie a zlepšovania špecifikácií týkajúcich sa identity, ktoré v rámci komunity odborníkov na štandardy podporujú silné overovanie, bezpečné prihlásenie, relácie, zabezpečenie API a ďalšie dôležité úlohy v oblasti infraštruktúry. v rámci oficiálnych normalizačných orgánov, ako sú IETF, W3C alebo OpenID Foundation. “
Tento program bol spustený s cieľom zabezpečiť, aby táto kritická technológia zostala pre používateľov čo najbezpečnejšia. Poskytuje výskumníkom chýb a bezpečnosti možnosť odhaliť chyby zabezpečenia v službách identity súkromne spoločnosti Microsoft. Toto umožní spoločnosti vyriešiť problém pred zverejnením jej technických podrobností.
Podrobnosti o vyplatení
Výplaty za tento program odmien sa budú pohybovať od 500 do 100 000 dolárov, čo závisí od dopadu chyby, ktorú vedci našli.
Vysoko kvalitný príspevok | Predloženie základnej kvality | Neúplné odoslanie | |
Významné obídenie autentifikácie | Až 40 000 dolárov | Až 10 000 dolárov | Od 1 000 dolárov |
Viacfaktorové obchádzanie autentifikácie | Až 100 000 dolárov | Až 50 000 dolárov | Od 1 000 dolárov |
Zraniteľnosti návrhu noriem | Až 100 000 dolárov | Až 30 000 dolárov | Od 2 500 dolárov |
Zraniteľnosti implementácie založené na štandardoch | Až 75 000 dolárov | Až 25 000 dolárov | Od 2 500 dolárov |
Cross-Site Scripting (XSS) | Až 10 000 dolárov | Až 4 000 dolárov | Od 1 000 dolárov |
Cross-Site Request Forgery (CSRF) | Až 20 000 dolárov | Až 5 000 dolárov | Od 500 dolárov |
Chyba autorizácie | Až 8 000 dolárov | Až 4 000 dolárov | Od 500 dolárov |
Kritériá pre oprávnené príspevky
Informácie o zraniteľnosti odoslané spoločnosti Microsoft musia splniť dané kritériá :
- Identifikujte originálnu a predtým nehlásenú kritickú alebo dôležitú chybu zabezpečenia, ktorá sa reprodukuje v našich službách Microsoft Identity, ktoré sú uvedené v rozsahu.
- Identifikujte pôvodnú a predtým nehlásenú chybu zabezpečenia, ktorá vedie k prevzatiu účtu Microsoft alebo účtu Azure Active Directory.
- Identifikujte pôvodnú a predtým neohlásenú chybu zabezpečenia v uvedených štandardoch OpenID alebo v protokole implementovanom v našich certifikovaných produktoch, službách alebo knižniciach.
- Odošlite proti akejkoľvek verzii aplikácie Microsoft Authenticator, ale odmeny za odmenu sa vyplatia, iba ak sa chyba bude reprodukovať oproti najnovšej, verejne dostupnej verzii.
- Zahrňte popis problému a stručné kroky reprodukovateľnosti, ktoré sú ľahko pochopiteľné. (Toto umožňuje čo najrýchlejšie spracovanie podaní a podporuje najvyššiu platbu za nahlásený typ chyby zabezpečenia.)
- Zahrňte vplyv zraniteľnosti
- Ak to nie je zrejmé, zahrňte vektor útoku
- V prípade mobilných aplikácií musí byť výskum zraniteľnosti reprodukovaný v najnovšej a aktualizovanej verzii mobilného operačného systému a aplikácie.
Objavená chyba musí tiež mať vplyv na ktorýkoľvek z nasledujúcich nástrojov:
- windows.net
- microsoftonline.com
- live.com
- live.com
- windowsazure.com
- activedirectory.windowsazure.com
- activedirectory.windowsazure.com
- office.com
- microsoftonline.com
- Microsoft Authenticator (aplikácie pre iOS a Android) *
- OpenID Foundation - rodina OpenID Connect
- OpenID Connect Core
- OpenID Connect Discovery
- OpenID Connect relácie
- Viaceré typy odpovedí OAuth 2.0
- Typy OAuth 2.0 po odoslaní odpovede
Tento program má zmysel, pretože má milióny registrovaných používateľov po celom svete.
Viac podrobností o programe, vrátane platobných kritérií, bezpečnostných metód zakázaného výskumu a kritérií pre neoprávnené príspevky, je možné získať tu .
Značky Microsoft