Microsoft indleder en bug bounty program, der er fokuseret på kundernes sikkerhed. Programmet hedder Identity Bounty Program, og det vil give dusører spænder fra $500 til $100,000 til afsløringen sikkerhedsbrist i virksomhedens identitet tjenester.
Hvad er Microsofts Identity Bounty Program All About
Som meddelt i et blogindlæg af Philip Misner, Microsofts Principal Security Group Manager, selskabet har ”stærkt investeret i skabelsen, implementering og forbedring af identitet-relaterede specifikationer, der fremmer stærk autentificering, sikker sign-on, sessioner, API sikkerhed, og andre kritiske opgaver infrastruktur, som en del af fællesskabet af standarder eksperter inden for de officielle standardiseringsorganer såsom IETF, W3C, eller OpenID Foundation”. Han bemærkede også, at sikkerheden i kundernes digitale identiteter i at få adgang til tjenesten online er mere markant end nogensinde.
Desuden, Identity Bounty programmet giver mulighed for at sikkerhedseksperter til at afsløre fejl i identitet tjenester i en privat måde, tillader Microsoft at løse de beskrevne problemer forud for udgivelse tekniske detaljer. Bounty-programmet bør også udvides til specifikke implementeringer af udvalgte OpenID standarder.
Som sædvanlig, bug bounty programmet har visse kriterier, der skal være opfyldt for indsendelse at blive accepteret:
– Identificer en original og tidligere urapporteret afgørende eller væsentlige sårbarhed, der gengiver i vores Microsoft Identity tjenester, der er anført i omfang;
– Identificer en original og tidligere urapporteret sårbarhed, der resulterer i overtagelse af en Microsoft-konto eller Azure Active Directory-konto;
– Identificer en original og tidligere urapporteret sårbarhed i børsnoterede OpenID standarder eller med protokollen implementeret i vores certificerede produkter, tjenester, eller biblioteker;
– Indsend mod enhver version af Microsoft Authenticator ansøgning, men bounty præmier vil kun blive udbetalt, hvis fejlen gengiver mod nyeste, offentligt tilgængelige version;
– Indeholde en beskrivelse af problemet og koncise reproducerbarhed trin, der let forståelige. (Dette giver mulighed for indlæg, der skal behandles så hurtigt som muligt og understøtter den højeste betaling for den type sårbarhed, der rapporteres.);
– Medtag effekten af sårbarheden;
– Medtag et angreb vektor, hvis ikke indlysende.
Desuden, Microsoft har også afsløret login og authentication værktøjer, der indgår i dette program:
login.windows.net
login.microsoftonline.com
login.live.com
account.live.com
account.windowsazure.com
account.activedirectory.windowsazure.com
credential.activedirectory.windowsazure.com
portal.office.com
passwordreset.microsoftonline.com
Microsoft Authenticator (iOS og Android-applikationer)
Det skal bemærkes, at for mobile applikationer, det opdagede sårbarheden skal gengive på den nyeste version af den særlige app og det mobile operativsystem.
Med hensyn til de udbetalinger, højere beløb er typisk gives til forskere, der har leveret rapporter af høj kvalitet med tilstrækkelig mængde data. Sårbarhed rapporter med større effekt bliver også betalt flere penge. Tværtimod, fejl, der kræver brugerinteraktion skal udnyttes, vil blive belønnet med lavere udbetalinger. I tilfælde, hvor en enkelt sårbarhed er blevet rapporteret af forskellige forskere, udbetalingen er givet til den første indsendelse.
Hvis du er interesseret i Identitet Bounty Program og ønsker at lære mere om det, Sørg for at læse den fuld beskrivelse udbydes af Microsoft.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: