Tiistaina 17. heinäkuutath, Microsoft ilmoitti Identity Bounty -ohjelma joka antaa palkkion virhetutkijoille ja metsästäjille, jotka löytävät tietoturvaan liittyviä haavoittuvuuksia sen identiteettipalveluista.
Phillip Misnerin mukaan , Microsoft Security Response Centerin tärkein tietoturvaryhmän johtaja, Microsoft on investoinut voimakkaasti kuluttaja- ja yritysidentiteettiratkaisujensa yksityisyyteen ja turvallisuuteen ja keskittynyt vahvan todennuksen, suojatun kirjautumisen istuntojen, sovellusliittymien suojauksen ja vastaavien kriittisiin infrastruktuureihin liittyvien tehtävien jatkuvaan parantamiseen. Hän kommentoi: 'Olemme panostaneet voimakkaasti identiteettiin liittyvien spesifikaatioiden luomiseen, toteuttamiseen ja parantamiseen, jotka edistävät vahvaa todennusta, suojattua kirjautumista, istuntoja, API-suojausta ja muita kriittisen infrastruktuurin tehtäviä osana standardi-asiantuntijoiden yhteisöä. virallisissa standardointielimissä, kuten IETF, W3C tai OpenID Foundation. '
Tämä ohjelma on käynnistetty sen varmistamiseksi, että tämä kriittinen tekniikka pysyy mahdollisimman turvallisena käyttäjille. Se tarjoaa virheen ja tietoturvatutkijoiden mahdollisuuden paljastaa henkilöllisyyspalvelujen heikkoudet Microsoftille yksityisesti. Tämä antaa yritykselle mahdollisuuden ratkaista ongelma ennen teknisten yksityiskohtien julkaisemista.
Maksaa yksityiskohdat
Tämän palkkio-ohjelman voitot vaihtelevat 500-100 000 dollaria, mikä riippuu tutkijoiden löytämän virheen vaikutuksesta.
| Korkealaatuinen lähetys | Perustason laadun toimittaminen | Keskeneräinen toimittaminen | |
| Merkittävä todennuksen ohitus | Jopa 40 000 dollaria | Jopa 10000 dollaria | Alkaen 1000 dollaria |
| Monitekijäinen todennuksen ohitus | Jopa 100 000 dollaria | Jopa 50000 dollaria | Alkaen 1000 dollaria |
| Standardien suunnittelun haavoittuvuudet | Jopa 100 000 dollaria | Jopa 30000 dollaria | Alkaen 2500 dollaria |
| Standardeihin perustuvat toteutushaavoittuvuudet | Jopa 75000 dollaria | Jopa 25 000 dollaria | Alkaen 2500 dollaria |
| Sivustojen välinen komentosarja (XSS) | Jopa 10000 dollaria | Jopa 4000 dollaria | Alkaen 1000 dollaria |
| Sivustojen välisten pyyntöjen väärentäminen (CSRF) | Jopa 20000 dollaria | Jopa 5000 dollaria | Alkaen 500 dollaria |
| Valtuutusvirhe | Jopa 8000 dollaria | Jopa 4000 dollaria | Alkaen 500 dollaria |
Tukikelpoisen ilmoituksen kriteerit
Microsoftille lähetettyjen haavoittuvuuslähetysten on oltava täyttävät annetut kriteerit :
- Tunnista alkuperäinen ja aiemmin ilmoittamaton kriittinen tai tärkeä haavoittuvuus, joka toistetaan soveltamisalaan kuuluvissa Microsoft Identity -palveluissa.
- Tunnista alkuperäinen ja aiemmin ilmoittamaton haavoittuvuus, joka johtaa Microsoft-tilin tai Azure Active Directory -tilin haltuunottoon.
- Tunnista alkuperäinen ja aiemmin ilmoittamaton haavoittuvuus luetelluista OpenID-standardeista tai sertifioiduissa tuotteissamme, palveluissamme tai kirjastoissamme käytetystä protokollasta.
- Lähetä mihinkään Microsoft Authenticator -sovelluksen versioon, mutta palkkionpalkinnot maksetaan vain, jos vika toistuu uusimpaan, julkisesti saatavilla olevaan versioon verrattuna.
- Sisällytä ongelman kuvaus ja ytimekkäät toistettavuusvaiheet, jotka ovat helposti ymmärrettävissä. (Tämä mahdollistaa lähetysten käsittelyn mahdollisimman nopeasti ja tukee korkeinta ilmoitettujen haavoittuvuuksien maksua.)
- Sisällytä haavoittuvuuden vaikutus
- Sisällytä hyökkäysvektori, ellei se ole ilmeinen
- Mobiilisovelluksia varten haavoittuvuustutkimus on toistettava mobiilikäyttöjärjestelmän ja -sovelluksen uusimmassa ja päivitetyssä versiossa.
Löydetyn virheen on myös vaikutettava johonkin seuraavista työkaluista:
- Windows.net
- microsoftonline.com
- live.com
- live.com
- windowsazure.com
- activedirectory.windowsazure.com
- activedirectory.windowsazure.com
- office.com
- microsoftonline.com
- Microsoft Authenticator (iOS- ja Android-sovellukset) *
- OpenID Foundation - OpenID Connect -perhe
- OpenID Connect -ydin
- OpenID Connect Discovery
- OpenID Connect -istunto
- OAuth 2.0, useita vastaustyyppejä
- OAuth 2.0 -lomakkeen vastaustyypit
Ohjelma on järkevä, koska sillä on miljoonia rekisteröityneitä käyttäjiä ympäri maailmaa.
Lisätietoja ohjelmasta, mukaan lukien maksukriteerit, kielletyt tutkimuksen suojausmenetelmät ja kriteerit tukikelvottomille lähetyksille, saat tässä .
Tunnisteet Microsoft
