U utorak 17. srpnjath, Microsoft je najavio svoj Program nagrađivanja identiteta što daje premium nagradu za istraživače bugova i lovce koji otkriju bilo kakve sigurnosne ranjivosti u svojim uslugama identiteta.
Prema Phillipu Misneru , Glavni upravitelj sigurnosne grupe Microsoftovog centra za sigurnosne odgovore, Microsoft je uložio velika sredstva u privatnost i sigurnost svojih rješenja za identitet potrošača i poduzeća i usredotočio se na stalno poboljšanje snažne provjere autentičnosti, sigurne sesije prijave, sigurnost API-ja i takve zadatke povezane s kritičnom infrastrukturom. Komentirao je, „Snažno smo uložili u stvaranje, implementaciju i poboljšanje specifikacija povezanih s identitetom koje njeguju snažnu provjeru autentičnosti, sigurnu prijavu, sesije, API sigurnost i druge kritične infrastrukturne zadatke, kao dio zajednice stručnjaka za standarde. u službenim tijelima za standarde kao što su IETF, W3C ili OpenID Foundation. '
Ovaj je program pokrenut kako bi se osiguralo da ova kritična tehnologija ostane što sigurnija za korisnike. Nudi istraživačima bugova i sigurnosti mogućnost privatnog otkrivanja ranjivosti u uslugama identiteta Microsoftu. To će omogućiti tvrtki da riješi problem prije objavljivanja svojih tehničkih detalja.
Pojedinosti o isplati
Isplate za ovaj program nagrađivanja kretat će se između 500 i 100 000 američkih dolara, što ovisi o utjecaju programske pogreške koju su istraživači otkrili.
Podnošenje visoke kvalitete | Podnošenje osnovne kvalitete | Nepotpuna prijava | |
Značajno zaobilaženje provjere autentičnosti | Do 40.000 američkih dolara | Do 10.000 USD | Od 1.000 dolara |
Obilaznica za provjeru autentičnosti s više faktora | Do 100.000 američkih dolara | Do 50.000 USD | Od 1.000 dolara |
Ranjivosti dizajna standarda | Do 100.000 američkih dolara | Do 30.000 dolara | Od 2.500 dolara |
Ranjivosti implementacije zasnovane na standardima | Do 75.000 američkih dolara | Do 25.000 američkih dolara | Od 2.500 dolara |
Cross-Site Scripting (XSS) | Do 10.000 USD | Do 4.000 dolara | Od 1.000 dolara |
Krivotvorenje zahtjeva za više web lokacija (CSRF) | Do 20.000 USD | Do 5000 dolara | Od 500 dolara |
Nedostatak odobrenja | Do 8000 američkih dolara | Do 4.000 dolara | Od 500 dolara |
Kriteriji za prihvatljivu prijavu
Podnesci o ranjivosti poslani Microsoftu moraju udovoljavaju zadanim kriterijima :
- Prepoznajte izvornu i prethodno neprijavljenu kritičnu ili važnu ranjivost koja se reproducira u našim uslugama Microsoft Identity koje su navedene u opsegu.
- Prepoznajte izvornu i prethodno neprijavljenu ranjivost koja rezultira preuzimanjem Microsoftovog računa ili Azure Active Directory računa.
- Utvrdite izvornu i prethodno neprijavljenu ranjivost u navedenim OpenID standardima ili u protokolu implementiranom u naše certificirane proizvode, usluge ili knjižnice.
- Predložite protiv bilo koje verzije aplikacije Microsoft Authenticator, ali nagrade u iznosu od nagrade bit će isplaćene samo ako se greška reproducira u odnosu na najnoviju, javno dostupnu verziju.
- Uključite opis problema i sažete korake ponovljivosti koji se lako razumiju. (To omogućuje obradu podnesaka što je brže moguće i podržava najveće plaćanje za vrstu ranjivosti koja se prijavljuje.)
- Uključite utjecaj ranjivosti
- Uključite vektor napada ako nije očit
- Za mobilne aplikacije, istraživanje ranjivosti mora se reproducirati na najnovijoj i ažuriranoj verziji mobilnog OS-a i aplikacije.
Također, otkrivena greška mora utjecati na bilo koji od sljedećih alata:
- windows.net
- microsoftonline.com
- live.com
- live.com
- windowsazure.com
- activedirectory.windowsazure.com
- activedirectory.windowsazure.com
- office.com
- microsoftonline.com
- Microsoft Authenticator (iOS i Android aplikacije) *
- OpenID Foundation - obitelj OpenID Connect
- Jezgra OpenID Connect
- Otkrivanje OpenID Connect
- Sjednica OpenID Connect
- Više vrsta odgovora OAuth 2.0
- Vrste odgovora na obrazac OAuth 2.0
Program ima smisla s obzirom na to da ima milijune registriranih korisnika po cijelom svijetu.
Dodatne pojedinosti o programu, uključujući kriterije plaćanja, zabranjene sigurnosne metode istraživanja i kriterije za neprihvatljive prijave mogu se dobiti ovdje .
Oznake Microsoft