El dimarts 17 de juliolth, Va anunciar Microsoft Programa de recompenses d’identitat la qual cosa suposa una recompensa premium per als investigadors i caçadors d’errors que descobreixen qualsevol vulnerabilitat relacionada amb la seguretat als seus serveis d’identitat.
Segons Phillip Misner , Principal responsable del grup de seguretat del Centre de resposta de seguretat de Microsoft, Microsoft ha invertit molt en privadesa i seguretat de les seves solucions d’identitat de consumidors i empreses i s’ha centrat en la millora constant de l’autenticació forta, les sessions d’inici de sessió segures, la seguretat de les API i tasques tan importants relacionades amb la infraestructura. Va comentar: “Hem invertit molt en la creació, implementació i millora d’especificacions relacionades amb la identitat que fomenten una autenticació forta, inici de sessió segur, sessions, seguretat de l’API i altres tasques d’infraestructura crítica, com a part de la comunitat d’experts en estàndards dins d’organismes oficials d’estàndards com IETF, W3C o l’OpenID Foundation ”.
Aquest programa s'ha llançat per garantir que aquesta tecnologia crítica segueixi sent el més segura possible per als usuaris. Ofereix als investigadors d’errors i seguretat l’oportunitat de revelar a Microsoft les vulnerabilitats dels serveis d’identitat. Això permetrà a l'empresa resoldre el problema abans de publicar els seus detalls tècnics.
Detalls de pagament
Els pagaments d’aquest programa de recompenses oscil·laran entre els 500 i els 100.000 dòlars, que depenen de l’impacte de l’error que els investigadors hagin trobat.
Enviament d'alta qualitat | Presentació de qualitat de referència | Enviament incomplet | |
Ignoració d’autenticació significativa | Fins a 40.000 dòlars | Fins a 10.000 dòlars | Des de 1.000 dòlars |
Ignoració d’autenticació multifactor | Fins a 100.000 dòlars | Fins a 50.000 dòlars | Des de 1.000 dòlars |
Els estàndards dissenyen vulnerabilitats | Fins a 100.000 dòlars | Fins a 30.000 dòlars | Des de 2.500 dòlars |
Vulnerabilitats d’implementació basades en estàndards | Fins a 75.000 dòlars | Fins a 25.000 dòlars | Des de 2.500 dòlars |
Scripts entre llocs (XSS) | Fins a 10.000 dòlars | Fins a 4.000 dòlars | Des de 1.000 dòlars |
Sol·licitud de falsificació entre llocs (CSRF) | Fins a 20.000 dòlars | Fins a 5.000 dòlars | Des de 500 dòlars |
Fallo d'autorització | Fins a 8.000 dòlars | Fins a 4.000 dòlars | Des de 500 dòlars |
Criteris per a un enviament elegible
Els enviaments de vulnerabilitats enviats a Microsoft han de ser obligatoris compleixin els criteris indicats :
- Identifiqueu una vulnerabilitat crítica o important original i no declarada prèviament que es reprodueixi als nostres serveis de Microsoft Identity que figuren dins de l'abast.
- Identifiqueu una vulnerabilitat original i anteriorment no comunicada que doni lloc a l'adquisició d'un compte de Microsoft o d'un compte d'Azure Active Directory.
- Identifiqueu una vulnerabilitat original i no comunicada prèviament als estàndards OpenID llistats o amb el protocol implementat als nostres productes, serveis o biblioteques certificats.
- Envieu-lo contra qualsevol versió de l'aplicació Microsoft Authenticator, però les recompenses només es pagaran si l'error es reprodueix amb l'última versió disponible públicament.
- Incloeu una descripció del problema i passos de reproducció concisos que s’entenguin fàcilment. (Permet processar els enviaments tan aviat com sigui possible i admet el pagament més alt pel tipus de vulnerabilitat que s’informa).
- Incloeu l’impacte de la vulnerabilitat
- Incloeu un vector d’atac si no és obvi
- Per a les aplicacions mòbils, la investigació de vulnerabilitats s'ha de reproduir a la versió més recent i actualitzada del sistema operatiu i de l'aplicació mòbil.
A més, l'error descobert ha d'afectar qualsevol de les eines següents:
- windows.net
- microsoftonline.com
- live.com
- live.com
- windowsazure.com
- activedirectory.windowsazure.com
- activedirectory.windowsazure.com
- office.com
- microsoftonline.com
- Microsoft Authenticator (aplicacions iOS i Android) *
- Fundació OpenID: la família OpenID Connect
- OpenID Connect Core
- OpenID Connect Discovery
- Sessió de connexió OpenID
- OAuth 2.0 Tipus de resposta múltiple
- Tipus OAuth 2.0 Tipus de resposta posterior
El programa té sentit, ja que té milions d’usuaris registrats a tot el món.
Es poden obtenir més detalls sobre el programa, inclosos els criteris de pagament, els mètodes de seguretat de la investigació prohibits i els criteris per a les presentacions no elegibles aquí .
Etiquetes Microsoft