Microsoft anuncia el 'Programa de recompenses d'identitat' per descobrir vulnerabilitats greus als seus serveis d'identitat

El dimarts 17 de juliol^th, Va anunciar Microsoft Programa de recompenses d’identitat la qual cosa suposa una recompensa premium per als investigadors i caçadors d’errors que descobreixen qualsevol vulnerabilitat relacionada amb la seguretat als seus serveis d’identitat.

Segons Phillip Misner , Principal responsable del grup de seguretat del Centre de resposta de seguretat de Microsoft, Microsoft ha invertit molt en privadesa i seguretat de les seves solucions d’identitat de consumidors i empreses i s’ha centrat en la millora constant de l’autenticació forta, les sessions d’inici de sessió segures, la seguretat de les API i tasques tan importants relacionades amb la infraestructura. Va comentar: “Hem invertit molt en la creació, implementació i millora d’especificacions relacionades amb la identitat que fomenten una autenticació forta, inici de sessió segur, sessions, seguretat de l’API i altres tasques d’infraestructura crítica, com a part de la comunitat d’experts en estàndards dins d’organismes oficials d’estàndards com IETF, W3C o l’OpenID Foundation ”.

Aquest programa s'ha llançat per garantir que aquesta tecnologia crítica segueixi sent el més segura possible per als usuaris. Ofereix als investigadors d’errors i seguretat l’oportunitat de revelar a Microsoft les vulnerabilitats dels serveis d’identitat. Això permetrà a l'empresa resoldre el problema abans de publicar els seus detalls tècnics.

Detalls de pagament

Els pagaments d’aquest programa de recompenses oscil·laran entre els 500 i els 100.000 dòlars, que depenen de l’impacte de l’error que els investigadors hagin trobat.

Criteris per a un enviament elegible

Els enviaments de vulnerabilitats enviats a Microsoft han de ser obligatoris compleixin els criteris indicats :

• Identifiqueu una vulnerabilitat crítica o important original i no declarada prèviament que es reprodueixi als nostres serveis de Microsoft Identity que figuren dins de l'abast.
• Identifiqueu una vulnerabilitat original i anteriorment no comunicada que doni lloc a l'adquisició d'un compte de Microsoft o d'un compte d'Azure Active Directory.
• Identifiqueu una vulnerabilitat original i no comunicada prèviament als estàndards OpenID llistats o amb el protocol implementat als nostres productes, serveis o biblioteques certificats.
• Envieu-lo contra qualsevol versió de l'aplicació Microsoft Authenticator, però les recompenses només es pagaran si l'error es reprodueix amb l'última versió disponible públicament.
• Incloeu una descripció del problema i passos de reproducció concisos que s’entenguin fàcilment. (Permet processar els enviaments tan aviat com sigui possible i admet el pagament més alt pel tipus de vulnerabilitat que s’informa).
• Incloeu l’impacte de la vulnerabilitat
• Incloeu un vector d’atac si no és obvi
• Per a les aplicacions mòbils, la investigació de vulnerabilitats s'ha de reproduir a la versió més recent i actualitzada del sistema operatiu i de l'aplicació mòbil.

A més, l'error descobert ha d'afectar qualsevol de les eines següents:

• windows.net
• microsoftonline.com
• live.com
• live.com
• windowsazure.com
• activedirectory.windowsazure.com
• activedirectory.windowsazure.com
• office.com
• microsoftonline.com
• Microsoft Authenticator (aplicacions iOS i Android) *
• Fundació OpenID: la família OpenID Connect
  • OpenID Connect Core
  • OpenID Connect Discovery
  • Sessió de connexió OpenID
  • OAuth 2.0 Tipus de resposta múltiple
  • Tipus OAuth 2.0 Tipus de resposta posterior

El programa té sentit, ja que té milions d’usuaris registrats a tot el món.

Es poden obtenir més detalls sobre el programa, inclosos els criteris de pagament, els mètodes de seguretat de la investigació prohibits i els criteris per a les presentacions no elegibles aquí .