Microsoft está poniendo en marcha un programa de recompensas de errores que se centra en la seguridad del cliente. El programa se llama Programa de Identidad Bounty y ofrecerá recompensas que van desde $500 a $100,000 para la vulnerabilidad de seguridad en los servicios de presentación de identidad de la compañía.
¿Qué es el Programa de Recompensas de Identidad de Microsoft Todo Sobre
Tal como se anunció en un blog de Philip Misner, Directora Gerente del Grupo de Seguridad de Microsoft, la compañía ha “invertido fuertemente en la creación, implantación y mejora de las especificaciones relacionadas con la identidad que fomentan autenticación fuerte, inicio de sesión seguro, sesiones, la seguridad de la API, y otras tareas de infraestructura crítica, como parte de la comunidad de expertos en normas dentro de los organismos oficiales de normalización, tales como IETF, W3C, o la Fundación OpenID”. También comentó que la seguridad de las identidades digitales de los clientes en el acceso a servicios en línea es más importante que nunca.
Adicionalmente, el Programa de Identidad Bounty está dando la oportunidad a los investigadores de seguridad de revelar las fallas en los servicios de identidad de manera privada, permitiendo Microsoft para resolver los problemas descritos con anterioridad a la publicación de detalles técnicos. El programa de recompensas también debe extenderse a implementaciones específicas de seleccionar estándares de OpenID.
Como siempre, el programa de recompensas de errores tiene ciertos criterios que se deben cumplir para la presentación para ser aceptado:
– Identificar una vulnerabilidad crítica o importante original y no declarada previamente que se reproduce en nuestros servicios de Microsoft Identity enumerados dentro del ámbito;
– Identificar una vulnerabilidad original y no declarada previamente que da lugar a la toma de posesión de una cuenta de Microsoft Azure o cuentas de Active Directory;
– Identificar una vulnerabilidad original y no declarada previamente en las normas enumeradas OpenID o con el protocolo implementado en nuestros productos certificados, servicios, o bibliotecas;
– Presentar contra cualquier versión de la aplicación Microsoft autenticador, pero premios gracias tan sólo se pagarán si el error se reproduce en contra de la última, versión disponible públicamente;
– Incluir una descripción del problema y los pasos de reproducibilidad concisas que son fáciles de entender. (Esto permite que las presentaciones sean procesados lo más rápido posible y apoya el pago más alto para el tipo de vulnerabilidad que se informa.);
– Incluir el impacto de la vulnerabilidad;
– Incluir un vector de ataque si no es obvio.
Adicionalmente, Microsoft también ha revelado las herramientas de inicio de sesión y autenticación incluidas en este programa:
login.windows.net
login.microsoftonline.com
login.live.com
account.live.com
account.windowsazure.com
account.activedirectory.windowsazure.com
credential.activedirectory.windowsazure.com
portal.office.com
passwordreset.microsoftonline.com
microsoft autenticador (aplicaciones de iOS y Android)
Cabe señalar que, para aplicaciones móviles, la vulnerabilidad descubierta debe reproducir en la última versión de la aplicación particular y el sistema operativo para móviles.
En cuanto a los pagos, cantidades más altas se dan normalmente a los investigadores que han proporcionado informes de alta calidad con cantidad suficiente de datos. reportes de vulnerabilidades con mayor impacto también se les paga más dinero. De lo contrario, defectos que requieren la interacción del usuario a ser explotada serán recompensados con pagos más bajos. En los casos en que una sola vulnerabilidad ha sido comunicada por diferentes investigadores, el pago se le da a la primera presentación.
Si usted está interesado en el Programa de Identidad Bounty y desea aprender más sobre él, asegúrese de leer la descripción completa ofrecido por Microsoft.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: