Tirsdag den 17. julith, Microsoft meddelte sin Identity Bounty-program der placerer en præmiebelønning for bugforskere og jægere, der opdager sikkerhedsrelaterede sårbarheder i dens identitetstjenester.
Ifølge Phillip Misner , Principal Security Group Manager for Microsoft Security Response Center, Microsoft har investeret stærkt i privatlivets fred og sikkerhed for sine forbruger- og virksomhedsidentitetsløsninger og har fokuseret på konstant forbedring af stærk godkendelse, sikker loginsession, API-sikkerhed og sådanne kritiske infrastrukturrelaterede opgaver. Han kommenterede, ”Vi har stærkt investeret i oprettelse, implementering og forbedring af identitetsrelaterede specifikationer, der fremmer stærk autentificering, sikker login, sessioner, API-sikkerhed og andre kritiske infrastrukturopgaver som en del af gruppen af standardeksperter inden for officielle standardiseringsorganer som IETF, W3C eller OpenID Foundation. ”
Dette program er blevet lanceret for at sikre, at denne kritiske teknologi forbliver så sikker som muligt for brugerne. Det giver fejl- og sikkerhedsforskerne chancen for at afsløre sårbarheder i identitetstjenesterne til Microsoft privat. Dette vil give virksomheden mulighed for at løse problemet inden offentliggørelsen af sine tekniske detaljer.
Udbetal detaljer
Udbetalingerne til dette bounty-program vil variere fra $ 500 til $ 100.000, hvilket afhænger af virkningen af den fejl, som forskerne har fundet.
| Indsendelse af høj kvalitet | Baseline kvalitet indsendelse | Ufuldstændig indsendelse | |
| Betydelig godkendelsesomgåelse | Op til $ 40.000 | Op til $ 10.000 | Fra $ 1.000 |
| Multifaktorautentificeringsbypass | Op til $ 100.000 | Op til $ 50.000 | Fra $ 1.000 |
| Standarder design sårbarheder | Op til $ 100.000 | Op til $ 30.000 | Fra $ 2.500 |
| Standardbaserede implementeringssårbarheder | Op til $ 75.000 | Op til $ 25.000 | Fra $ 2.500 |
| Cross-site scripting (XSS) | Op til $ 10.000 | Op til $ 4.000 | Fra $ 1.000 |
| Forfalskning på tværs af websteder (CSRF) | Op til $ 20.000 | Op til $ 5.000 | Fra $ 500 |
| Autorisationsfejl | Op til $ 8.000 | Op til $ 4.000 | Fra $ 500 |
Kriterier for en kvalificeret indsendelse
De sårbarhedsindlæg, der sendes til Microsoft, skal opfylder de givne kriterier :
- Identificer en original og tidligere urapporteret kritisk eller vigtig sårbarhed, der gengives i vores Microsoft Identity-tjenester, der er angivet inden for anvendelsesområdet.
- Identificer en original og tidligere ikke rapporteret sårbarhed, der resulterer i overtagelse af en Microsoft-konto eller Azure Active Directory-konto.
- Identificer en original og tidligere urapporteret sårbarhed i listede OpenID-standarder eller med den protokol, der er implementeret i vores certificerede produkter, tjenester eller biblioteker.
- Indsend mod en hvilken som helst version af Microsoft Authenticator-applikationen, men belønningspræmier udbetales kun, hvis fejlen reproduceres mod den nyeste, offentligt tilgængelige version.
- Inkluder en beskrivelse af problemet og kortfattede reproducerbarhedstrin, der er let forståelige. (Dette gør det muligt at behandle indsendelser så hurtigt som muligt og understøtter den højeste betaling for den type sårbarhed, der rapporteres.)
- Inkluder virkningen af sårbarheden
- Inkluder en angrebsvektor, hvis det ikke er indlysende
- For mobilapplikationer skal sårbarhedsundersøgelser reproduceres i den nyeste og opdaterede version af mobil OS og app.
Den opdagede fejl skal også påvirke et af følgende værktøjer:
- windows.net
- microsoftonline.com
- live.com
- live.com
- windowsazure.com
- activedirectory.windowsazure.com
- activedirectory.windowsazure.com
- office.com
- microsoftonline.com
- Microsoft Authenticator (iOS- og Android-applikationer) *
- OpenID Foundation - OpenID Connect-familien
- OpenID Connect Core
- OpenID Connect Discovery
- OpenID Connect-session
- OAuth 2.0 flere svarstyper
- OAuth 2.0-formtyper for svar
Programmet giver mening, da det har millioner af registrerede brugere over hele verden.
Flere detaljer om programmet inklusive betalingskriterier, forbudte forsknings-sikkerhedsmetoder og kriterier for ikke-støtteberettigede indsendelser kan fås her .
Mærker Microsoft
