Spoločnosť Microsoft oznamuje „Program identity Bounty“ na zisťovanie závažných chýb zabezpečenia v službách identity

V utorok 17. júla^thMicrosoft oznámil svoje Program identity Bounty ktorá kladie prémiovú odmenu pre výskumníkov a lovcov chýb, ktorí v jej službách identity objavia chyby zabezpečenia súvisiace so zabezpečením.

Podľa Phillipa Misnera „Hlavný manažér skupiny zabezpečenia skupiny Microsoft Security Response Center, spoločnosť Microsoft intenzívne investovala do ochrany súkromia a bezpečnosti svojich riešení v oblasti ochrany spotrebiteľa a podnikovej identity a zamerala sa na neustále zlepšovanie silnej autentifikácie, relácií zabezpečeného prihlásenia, zabezpečenia API a úloh súvisiacich s dôležitou infraštruktúrou. Komentoval: „Intenzívne sme investovali do vytvárania, implementácie a zlepšovania špecifikácií týkajúcich sa identity, ktoré v rámci komunity odborníkov na štandardy podporujú silné overovanie, bezpečné prihlásenie, relácie, zabezpečenie API a ďalšie dôležité úlohy v oblasti infraštruktúry. v rámci oficiálnych normalizačných orgánov, ako sú IETF, W3C alebo OpenID Foundation. “

Tento program bol spustený s cieľom zabezpečiť, aby táto kritická technológia zostala pre používateľov čo najbezpečnejšia. Poskytuje výskumníkom chýb a bezpečnosti možnosť odhaliť chyby zabezpečenia v službách identity súkromne spoločnosti Microsoft. Toto umožní spoločnosti vyriešiť problém pred zverejnením jej technických podrobností.

Podrobnosti o vyplatení

Výplaty za tento program odmien sa budú pohybovať od 500 do 100 000 dolárov, čo závisí od dopadu chyby, ktorú vedci našli.

Kritériá pre oprávnené príspevky

Informácie o zraniteľnosti odoslané spoločnosti Microsoft musia splniť dané kritériá :

• Identifikujte originálnu a predtým nehlásenú kritickú alebo dôležitú chybu zabezpečenia, ktorá sa reprodukuje v našich službách Microsoft Identity, ktoré sú uvedené v rozsahu.
• Identifikujte pôvodnú a predtým nehlásenú chybu zabezpečenia, ktorá vedie k prevzatiu účtu Microsoft alebo účtu Azure Active Directory.
• Identifikujte pôvodnú a predtým neohlásenú chybu zabezpečenia v uvedených štandardoch OpenID alebo v protokole implementovanom v našich certifikovaných produktoch, službách alebo knižniciach.
• Odošlite proti akejkoľvek verzii aplikácie Microsoft Authenticator, ale odmeny za odmenu sa vyplatia, iba ak sa chyba bude reprodukovať oproti najnovšej, verejne dostupnej verzii.
• Zahrňte popis problému a stručné kroky reprodukovateľnosti, ktoré sú ľahko pochopiteľné. (Toto umožňuje čo najrýchlejšie spracovanie podaní a podporuje najvyššiu platbu za nahlásený typ chyby zabezpečenia.)
• Zahrňte vplyv zraniteľnosti
• Ak to nie je zrejmé, zahrňte vektor útoku
• V prípade mobilných aplikácií musí byť výskum zraniteľnosti reprodukovaný v najnovšej a aktualizovanej verzii mobilného operačného systému a aplikácie.

Objavená chyba musí tiež mať vplyv na ktorýkoľvek z nasledujúcich nástrojov:

• windows.net
• microsoftonline.com
• live.com
• live.com
• windowsazure.com
• activedirectory.windowsazure.com
• activedirectory.windowsazure.com
• office.com
• microsoftonline.com
• Microsoft Authenticator (aplikácie pre iOS a Android) *
• OpenID Foundation - rodina OpenID Connect
  • OpenID Connect Core
  • OpenID Connect Discovery
  • OpenID Connect relácie
  • Viaceré typy odpovedí OAuth 2.0
  • Typy OAuth 2.0 po odoslaní odpovede

Tento program má zmysel, pretože má milióny registrovaných používateľov po celom svete.

Viac podrobností o programe, vrátane platobných kritérií, bezpečnostných metód zakázaného výskumu a kritérií pre neoprávnené príspevky, je možné získať tu .