„Microsoft“ paskelbia „Identity Bounty“ programą, skirtą rasti rimtų pažeidžiamumų savo tapatybės tarnybose

Antradienį, liepos 17 d^tūkst, „Microsoft“ paskelbė apie tai „Identity Bounty“ programa kuris skiria aukščiausio lygio atlygį klaidų tyrėjams ir medžiotojams, kurie aptinka bet kokius su saugumu susijusius trūkumus savo tapatybės tarnybose.

Pasak Phillipo Misnerio , „Microsoft Security Response Center“ pagrindinis saugos grupės vadovas, „Microsoft“ daug investavo į savo vartotojų ir įmonės tapatybės sprendimų privatumą ir saugumą ir sutelkė dėmesį į nuolatinį stiprios autentifikacijos, saugaus prisijungimo sesijų, API saugumo ir tokių su kritine infrastruktūra susijusių užduočių tobulinimą. Jis komentavo: „Mes, kaip standartų ekspertų bendruomenės dalis, daug investavome į su tapatybe susijusių specifikacijų, kurios skatina tvirtą autentifikavimą, saugų prisijungimą, sesijas, API saugumą ir kitas svarbios infrastruktūros užduotis, kūrimą, įgyvendinimą ir tobulinimą. oficialiose standartų institucijose, tokiose kaip IETF, W3C ar OpenID Foundation. “

Ši programa buvo paleista siekiant užtikrinti, kad ši kritinė technologija išliktų kuo saugesnė vartotojams. Tai siūlo klaidų ir saugumo tyrėjams galimybę atskleisti „Microsoft“ tapatybės paslaugų pažeidžiamumą privačiai. Tai leis įmonei išspręsti problemą prieš paskelbiant savo techninę informaciją.

Išmokėti išsamią informaciją

Šios premijos išmokos svyruos nuo 500 iki 100 000 USD, o tai priklauso nuo tyrėjų nustatytos klaidos poveikio.

Tinkamo pateikimo kriterijai

„Microsoft“ išsiųsti pažeidžiamumo pasiūlymai turi atitiktų pateiktus kriterijus :

• Nustatykite originalų ir anksčiau nepraneštą kritinį ar svarbų pažeidžiamumą, kuris atkuriamas „Microsoft Identity“ tarnybose, kurios yra išvardytos taikymo srityje.
• Nustatykite originalų ir anksčiau nepraneštą pažeidžiamumą, dėl kurio perimama „Microsoft“ paskyra arba „Azure Active Directory“ paskyra.
• Nustatykite originalų ir anksčiau nepraneštą pažeidžiamumą išvardytuose „OpenID“ standartuose arba naudodami protokolą, įdiegtą mūsų sertifikuotuose produktuose, paslaugose ar bibliotekose.
• Pateikti pagal bet kurią „Microsoft Authenticator“ programos versiją, tačiau premijos už premiją bus mokamos tik tuo atveju, jei klaida pasikartos pagal naujausią, viešai prieinamą versiją.
• Įtraukite problemos aprašymą ir glaustą lengvai suprantamą atkūrimo etapą. (Tai leidžia kuo greičiau apdoroti pateiktas medžiagas ir palaiko didžiausią mokėjimą už pranešamą pažeidžiamumo tipą.)
• Įtraukite pažeidžiamumo poveikį
• Įtraukite atakos vektorių, jei tai nėra akivaizdu
• Mobiliųjų programų pažeidžiamumo tyrimai turi būti pakartoti naujausioje ir atnaujintoje OS ir programos mobiliesiems versijoje.

Be to, aptikta klaida turi paveikti bet kurį iš šių įrankių:

• windows.net
• microsoftonline.com
• live.com
• live.com
• windowsazure.com
• activedirectory.windowsazure.com
• activedirectory.windowsazure.com
• office.com
• microsoftonline.com
• „Microsoft Authenticator“ („iOS“ ir „Android“ programos) *
• „OpenID Foundation“ - „OpenID Connect“ šeima
  • „OpenID Connect Core“
  • „OpenID Connect Discovery“
  • „OpenID Connect“ sesija
  • „OAuth 2.0“ kelių atsakymų tipai
  • „OAuth 2.0“ formos atsakymo tipai

Programa yra prasminga, nes ji turi milijonus registruotų vartotojų visame pasaulyje.

Galite gauti daugiau informacijos apie programą, įskaitant mokėjimo kriterijus, draudžiamus tyrimų saugumo metodus ir netinkamų pateikimo kriterijus čia .