På tisdag 17 julith, Microsoft meddelade sin Identity Bounty Program som placerar en premiebelöning för bugforskare och jägare som upptäcker säkerhetsrelaterade sårbarheter i dess identitetstjänster.
Enligt Phillip Misner , Chefsgruppschef för Microsoft Security Response Center, Microsoft har investerat kraftigt i integritet och säkerhet för sina konsument- och företagsidentitetslösningar och har fokuserat på ständig förbättring av stark autentisering, säkra inloggningssessioner, API-säkerhet och sådana kritiska infrastrukturrelaterade uppgifter. Han kommenterade, ”Vi har starkt investerat i skapande, implementering och förbättring av identitetsrelaterade specifikationer som främjar stark autentisering, säker inloggning, sessioner, API-säkerhet och andra kritiska infrastrukturuppgifter, som en del av gemenskapen med standardexperter inom officiella standardiseringsorgan som IETF, W3C eller OpenID Foundation. ”
Detta program har lanserats för att säkerställa att denna kritiska teknik förblir så säker som möjligt för användarna. Det ger bug- och säkerhetsforskarna chansen att avslöja sårbarheter i identitetstjänsterna till Microsoft privat. Detta gör att företaget kan lösa problemet innan de tekniska detaljerna publiceras.
Betala ut detaljer
Utbetalningarna för detta bounty-program kommer att variera från $ 500 till $ 100.000, vilket beror på effekten av det fel som forskarna har hittat.
| Inlämning av hög kvalitet | Baslinjekvalitetsinlämning | Ofullständigt inlämnande | |
| Betydande autentiseringsbypass | Upp till 40 000 dollar | Upp till 10 000 dollar | Från $ 1000 |
| Multi-factor Authentication Bypass | Upp till $ 100.000 | Upp till $ 50.000 | Från $ 1000 |
| Standarder designar sårbarheter | Upp till $ 100.000 | Upp till $ 30.000 | Från 2500 dollar |
| Standardbaserade implementeringssårbarheter | Upp till $ 75.000 | Upp till $ 25.000 | Från 2500 dollar |
| Cross-Site Scripting (XSS) | Upp till 10 000 dollar | Upp till 4000 dollar | Från $ 1000 |
| Cross-Site Request Forgery (CSRF) | Upp till $ 20.000 | Upp till $ 5000 | Från $ 500 |
| Auktoriseringsfel | Upp till $ 8000 | Upp till 4000 dollar | Från $ 500 |
Kriterier för en bidragsberättigande
Sårbarhetsansökningarna som skickas till Microsoft måste uppfyller givna kriterier :
- Identifiera en original och tidigare orapporterad kritisk eller viktig sårbarhet som återges i våra Microsoft Identity-tjänster som listas inom ramen.
- Identifiera en ursprunglig och tidigare rapporterad sårbarhet som leder till övertagande av ett Microsoft-konto eller Azure Active Directory-konto.
- Identifiera en original och tidigare orapporterad sårbarhet i listade OpenID-standarder eller med protokollet implementerat i våra certifierade produkter, tjänster eller bibliotek.
- Skicka in mot alla versioner av Microsoft Authenticator-applikationen, men belöningar kommer bara att betalas om felet reproduceras mot den senaste, offentligt tillgängliga versionen.
- Inkludera en beskrivning av problemet och korta reproducerbarhetssteg som är lätta att förstå. (Detta gör att ansökningar kan behandlas så snabbt som möjligt och stöder den högsta betalningen för den typ av sårbarhet som rapporteras.)
- Inkludera effekten av sårbarheten
- Inkludera en attackvektor om det inte är uppenbart
- För mobilapplikationer måste sårbarhetsundersökningar reproduceras i den senaste och uppdaterade versionen av mobil OS och app.
Den upptäckta bugg måste också påverka något av följande verktyg:
- windows.net
- microsoftonline.com
- live.com
- live.com
- windowsazure.com
- activedirectory.windowsazure.com
- activedirectory.windowsazure.com
- office.com
- microsoftonline.com
- Microsoft Authenticator (iOS- och Android-applikationer) *
- OpenID Foundation - OpenID Connect-familjen
- OpenID Connect Core
- OpenID Connect Discovery
- OpenID Connect-session
- OAuth 2.0 flera svarstyper
- OAuth 2.0-formulärets svarstyper
Programmet är vettigt, med tanke på att det har miljontals registrerade användare över hela världen.
Mer information om programmet inklusive betalningskriterier, förbjudna säkerhetsmetoder för forskning och kriterier för inlämnade bidrag kan erhållas här .
Taggar Microsoft
