Microsoft ist ein Bug Bounty Programm initiiert, das auf Kundensicherheit fokussiert. Das Programm ist Identität Bounty-Programm genannt, und es wird Bounties bietet im Bereich von $500 zu $100,000 für Enthüllung Sicherheitslücke in der Identität Dienstleistungen des Unternehmens.
Was ist Microsoft Identity Bounty Programm All About
Wie in einem Blog-Eintrag von Philip Misner angekündigt, Microsofts Sicherheitshaupt Group Manager, das Unternehmen hat sich „stark in der Schaffung investiert, Umsetzung und Verbesserung der identitätsbezogenen Spezifikationen, die eine starke Authentifizierung fördern, sichere Sign-On, Sitzungen, API Sicherheit, und andere wichtige Infrastrukturaufgaben, als Teil der Gemeinschaft von Standards Experten innerhalb offiziellen Normungsgremien wie IETF, W3C, oder die OpenID Foundation“. Er bemerkte auch, dass die Sicherheit von digitalen Identitäten der Kunden in Service Online-Zugriff auf mehr von Bedeutung ist als je zuvor.
Außerdem, die Identität Bounty Programm gibt die Möglichkeit, Sicherheitsforscher Fehler in Identitätsdienste in privaten Weise offen zu legen, so dass Microsoft die offenbarten Probleme vor der Veröffentlichung von technischen Details zu lösen. Das Bounty Programm soll auch auf spezifische Implementierungen von ausgewählten OpenID-Standards erweitert werden.
Wie gewöhnlich, der Bug Bounty Programm hat bestimmte Kriterien, die für die Vorlage erfüllt sein sollte akzeptiert werden:
– Identifizieren Sie eine originelle und zuvor nicht gemeldete kritische oder wichtige Sicherheitslücke, das in unserem Microsoft Identity Services wiedergibt, die innerhalb des Bereichs aufgelistet sind;
– Identifizieren Sie eine originelle und zuvor nicht gemeldete Sicherheitsanfälligkeit, die über ein Microsoft-Konto an oder Azure Active Directory-Konto bei der Einnahme führt;
– Identifizieren Sie eine originelle und zuvor nicht gemeldete Sicherheitsanfälligkeit im genannten OpenID-Standards oder mit dem Protokoll in unseren zertifizierten Produkten umgesetzt, Dienstleistungen, oder Bibliotheken;
– Senden gegen jede Version von Microsoft Authenticator, aber Bounty Preise werden nur dann gezahlt werden, wenn der Fehler reproduziert gegen die neuesten, öffentlich verfügbare Version;
– Fügen Sie eine Beschreibung des Problems und präzise Reproduzierbarkeit Schritte, die leicht verständlich sind. (Dies ermöglicht Einreichungen so schnell wie möglich verarbeitet werden und unterstützen die höchste Zahlung für die Art der Verwundbarkeit berichtet.);
– Fügen Sie die Auswirkung der Sicherheitsanfälligkeit;
– Fügen Sie einen Angriffsvektor, wenn nicht auf der Hand.
Außerdem, Microsoft hat auch gezeigt, die Login- und Authentifizierungs-Tools in diesem Programm enthalten:
login.windows.net
login.microsoftonline.com
login.live.com
account.live.com
account.windowsazure.com
account.activedirectory.windowsazure.com
credential.activedirectory.windowsazure.com
portal.office.com
passwordreset.microsoftonline.com
Microsoft Authenticator (iOS und Android-Anwendungen)
Es sollte beachtet werden, dass für mobile Anwendungen, die entdeckte Sicherheitslücke muss auf die neueste Version der jeweiligen App und das mobile Betriebssystem reproduzieren.
Was die Auszahlungen, höhere Beträge werden in der Regel den Forschern gegeben, die hohe Qualitätsberichte mit einer ausreichenden Menge an Daten zur Verfügung gestellt haben. Vulnerability Report mit höheren Auswirkungen ist auch mehr Geld bezahlt. Im Gegenteil, Fehler, die Interaktion mit dem Benutzer erfordert ausgebeutet wird mit niedrigeren Auszahlungen belohnt. In Fällen, in denen eine einzige Schwachstelle von verschiedenen Forschern berichtet, die Auszahlung an die erste Vorlage gegeben.
Wenn Sie in der Identity Bounty-Programm interessiert und wollen mehr darüber erfahren, stellen Sie sicher, das lesen Gesamte Beschreibung angeboten von Microsoft.