Teisipäeval, 17. juulilth, Teatas Microsoft oma Identity Bounty programm mis annab lisatasu vigade uurijatele ja jahimeestele, kes avastavad oma identiteediteenustes turvalisusega seotud nõrku kohti.
Phillip Misneri sõnul , Microsofti turbekeskuse turberühma juht, on Microsoft investeerinud palju oma tarbijate ja ettevõtte identiteedilahenduste privaatsusse ja turvalisusse ning on keskendunud tugeva autentimise, turvaliste sisselogimisseansside, API-turvalisuse ja selliste kriitilise infrastruktuuriga seotud ülesannete pidevale täiustamisele. Ta kommenteeris: „Oleme standardiekspertide kogukonna osana investeerinud tugevalt identiteediga seotud spetsifikatsioonide loomisse, juurutamisse ja täiustamisse, mis soodustavad tugevat autentimist, turvalist sisselogimist, seansse, API turvalisust ja muid esmatähtsaid infrastruktuuri ülesandeid. ametlikes standardiorganites nagu IETF, W3C või OpenID Foundation. '
See programm käivitati selle tagamiseks, et see kriitiline tehnoloogia oleks kasutajatele võimalikult turvaline. See pakub viga- ja turvauurijatele võimalust Microsofti privaatselt identiteediteenuste nõrkade kohtade avalikustamiseks. See võimaldab ettevõttel probleemi lahendada enne oma tehniliste üksikasjade avaldamist.
Väljamakse üksikasjad
Selle pearahaprogrammi väljamaksed jäävad vahemikku 500–100 000 dollarit, mis sõltub teadlaste leitud vea mõjust.
Kvaliteetne esitamine | Kvaliteedi esitamise algtase | Mittetäielik esitamine | |
Oluline autentimise ümbersõit | Kuni 40 000 dollarit | Kuni 10 000 dollarit | Alates 1000 dollarist |
Mitmeteguriline autentimise ümbersõit | Kuni 100 000 dollarit | Kuni 50 000 dollarit | Alates 1000 dollarist |
Standardite kujundamise haavatavused | Kuni 100 000 dollarit | Kuni 30 000 dollarit | Alates 2500 dollarist |
Standardipõhised rakendamise haavatavused | Kuni 75 000 dollarit | Kuni 25 000 dollarit | Alates 2500 dollarist |
Saididevaheline skriptimine (XSS) | Kuni 10 000 dollarit | Kuni 4000 dollarit | Alates 1000 dollarist |
Saididevaheliste taotluste võltsimine (CSRF) | Kuni 20 000 dollarit | Kuni 5000 dollarit | Alates 500 dollarist |
Autoriseerimisviga | Kuni 8000 dollarit | Kuni 4000 dollarit | Alates 500 dollarist |
Abikõlbliku esitamise kriteeriumid
Microsoftile saadetud haavatavuse esildised peavad vastama etteantud kriteeriumidele :
- Tuvastage algne ja varem teatamata kriitiline või oluline haavatavus, mis taastekitatakse meie Microsoft Identity teenustes, mis on loetletud reguleerimisalas.
- Tuvastage algne ja varem teatamata haavatavus, mille tulemuseks on Microsofti konto või Azure Active Directory konto ülevõtmine.
- Tuvastage algne ja varem teatamata haavatavus loetletud OpenID-standardites või meie sertifitseeritud toodetes, teenustes või raamatukogudes rakendatud protokollis.
- Esitage Microsofti Authenticatori mis tahes versiooni vastu, kuid peaauhindu makstakse ainult siis, kui viga taastub uusima, avalikult kättesaadava versiooniga.
- Lisage probleemi kirjeldus ja ülevaatlikud taasesitamisetapid, mis on hõlpsasti mõistetavad. (See võimaldab esildisi võimalikult kiiresti töödelda ja toetab suurimat tasu teatatud haavatavuse tüübi eest.)
- Lisage haavatavuse mõju
- Lisage rünnakuvektor, kui see pole ilmne
- Mobiilirakenduste jaoks tuleb haavatavusuuringud reprodutseerida mobiilseadme ja rakenduse uusimas ja värskendatud versioonis.
Samuti peab avastatud viga mõjutama üht järgmistest tööriistadest:
- windows.net
- microsoftonline.com
- live.com
- live.com
- windowsazure.com
- activedirectory.windowsazure.com
- activedirectory.windowsazure.com
- office.com
- microsoftonline.com
- Microsoft Authenticator (iOS- ja Android-rakendused) *
- OpenID Foundation - perekond OpenID Connect
- OpenID Connect Core
- OpenID Connecti avastamine
- OpenID ühenduse seanss
- OAuth 2.0 mitu vastust tüüpi
- OAuth 2.0 vormi vastuse tüübid
Programm on mõttekas, arvestades, et sellel on miljoneid registreeritud kasutajaid kogu maailmas.
Lisateavet programmi kohta, sealhulgas maksekriteeriumid, keelatud teadustöö turbemeetodid ja nõuetele mittevastavate esituste kriteeriumid, võib saada siin .
Sildid Microsoft