Microsoft lance un programme de primes bug qui se concentre sur la sécurité des clients. Le programme est appelé Identity Programme Bounty et offrira des primes allant de $500 à $100,000 la vulnérabilité de sécurité de dévoilement dans les services d'identité de l'entreprise.
Qu'est-ce que l'identité du programme Bounty de Microsoft All About
Comme annoncé dans un billet de blog par Philip Misner, Principal Gestionnaire de groupe de sécurité de Microsoft, la société a « fortement investi dans la création, la mise en œuvre et l'amélioration des spécifications liées à l'identité qui favorisent l'authentification forte, sign-on sécurisé, sessions, sécurité API, et d'autres tâches d'infrastructures essentielles, dans le cadre de la communauté d'experts des normes au sein des organismes de normalisation officiels tels que l'IETF, W3C, ou la Fondation OpenID ». Il a également fait remarquer que la sécurité des identités numériques des clients pour accéder à un service en ligne est plus importante que jamais.
En outre, le programme Bounty identité donne la possibilité aux chercheurs de sécurité de révéler des failles dans les services d'identité d'une manière privée, permettant Microsoft pour résoudre les problèmes divulgués avant la publication des détails techniques. Le programme de primes devrait également être étendue à des implémentations spécifiques de sélectionner les standards OpenID.
Comme d'habitude, le programme de primes bug a certains critères qui doivent être remplies pour que la soumission à être acceptée:
– Identifier une vulnérabilité critique ou importante d'origine et non déclarés antérieurement qui reproduit dans nos services Microsoft Identity répertoriés dans la portée;
– Identifier une vulnérabilité d'origine et non déclarés antérieurement qui se traduit par la prise en charge d'un compte Microsoft ou Azure compte Active Directory;
– Identifier une vulnérabilité d'origine et non rapporté précédemment dans les normes ou OpenID figurant le protocole mis en œuvre dans nos produits certifiés, services, ou bibliothèques;
– Soumettre contre toute version de l'application Microsoft Authenticator, mais les prix primes ne seront versées que si le bogue reproduit contre le dernier, publiquement version disponible;
– Inclure une description du problème et des étapes de reproductibilité concises qui sont faciles à comprendre. (Cela permet les soumissions à traiter le plus rapidement possible et prend en charge le paiement le plus élevé pour le type de vulnérabilité déclarée.);
– Inclure l'impact de la vulnérabilité;
– Inclure un vecteur d'attaque si pas évident.
En outre, Microsoft a également révélé les outils de connexion et d'authentification inclus dans ce programme:
login.windows.net
login.microsoftonline.com
login.live.com
account.live.com
account.windowsazure.com
account.activedirectory.windowsazure.com
credential.activedirectory.windowsazure.com
portal.office.com
passwordreset.microsoftonline.com
Microsoft Authenticator (applications iOS et Android)
Il convient de noter que pour les applications mobiles, la vulnérabilité découverte doit reproduire sur la dernière version de l'application particulière et le système d'exploitation mobile.
En ce qui concerne les paiements, des montants plus élevés sont généralement donnés aux chercheurs qui ont fourni des rapports de haute qualité avec une quantité suffisante de données. rapports de vulnérabilité ayant un impact plus élevé sont également payés plus d'argent. Au contraire, défauts qui nécessitent une interaction de l'utilisateur à exploiter seront récompensés avec des gains inférieurs. Dans les cas où une seule vulnérabilité a été rapportée par différents chercheurs, le paiement est donné à la première présentation.
Si vous êtes intéressé par le programme Bounty Identity et que vous voulez en savoir plus à ce sujet, assurez-vous de lire la description complète offert par Microsoft.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: