Microsoft sta avviando un programma bug bounty che si concentra sulla sicurezza del cliente. Il programma si chiama identità del programma Bounty e offrirà premi che vanno da $500 a $100,000 per vulnerabilità di sicurezza inaugurazione in servizi di identità della società.
Che cosa è Bounty identità del programma di Microsoft All About
Come annunciato in un post sul blog di Philip Misner, Principale responsabile del gruppo di protezione di Microsoft, la società ha “fortemente investito nella creazione, implementazione e il miglioramento delle caratteristiche identitarie che favorire l'autenticazione forte, sicuro sign-on, sessioni, la sicurezza API, e altri compiti di infrastrutture critiche, come parte della comunità di esperti standard all'interno organismi di normalizzazione ufficiali come IETF, W3C, o la Fondazione OpenID”. Egli ha anche commentato che la sicurezza delle identità digitali dei clienti in accesso servizio online è più significativo che mai.
In aggiunta, Bounty identità del programma sta dando l'opportunità di ricercatori di sicurezza di rivelare difetti in servizi di identità in maniera privata, permettendo a Microsoft di risolvere i problemi descritti prima di pubblicare i dettagli tecnici. Il programma di taglie deve essere esteso anche alle implementazioni specifiche di selezionare gli standard OpenID.
Come di solito, il programma bug bounty ha determinati criteri che devono essere soddisfatti per la presentazione per essere accettato:
– Identificare una vulnerabilità critica o importanti originale e in precedenza non dichiarata che riproduce nei nostri servizi Microsoft di identità che sono elencati nel campo di applicazione;
– Identificare una vulnerabilità originale e in precedenza non dichiarata che provoca la presa in consegna di un account Microsoft o Azure account Active Directory;
– Identificare una vulnerabilità originale e in precedenza non dichiarata negli standard OpenID quotate o con il protocollo implementato nei nostri prodotti certificati, servizi, o librerie;
– Invia contro qualsiasi versione di applicazione di Microsoft Authenticator, ma i premi di taglie saranno pagati solo se il bug riproduce contro l'ultima, versione disponibile al pubblico;
– Includere una descrizione del problema e passaggi di riproducibilità concise che sono di facile comprensione. (Ciò consente di osservazioni da elaborare nel più breve tempo possibile e supporta la più alta di pagamento per il tipo di vulnerabilità sono stati segnalati.);
– Includere l'impatto della vulnerabilità;
– Includere un vettore di attacco, se non evidente.
In aggiunta, Microsoft ha anche rivelato gli strumenti di accesso e di autenticazione inclusi in questo programma:
login.windows.net
login.microsoftonline.com
login.live.com
account.live.com
account.windowsazure.com
account.activedirectory.windowsazure.com
credential.activedirectory.windowsazure.com
portal.office.com
passwordreset.microsoftonline.com
Microsoft Authenticator (applicazioni iOS e Android)
Va notato che per le applicazioni mobili, la vulnerabilità scoperta deve riprodurre sull'ultima versione della particolare applicazione e il sistema operativo mobile.
Per quanto riguarda i versamenti, importi più elevati sono in genere forniti ai ricercatori che hanno fornito i rapporti di alta qualità con una quantità sufficiente di dati. rapporti vulnerabilità con maggiore impatto sono anche pagati più soldi. Anzi, difetti che richiedono l'interazione dell'utente per essere sfruttata saranno ricompensati con versamenti inferiori. Nei casi in cui una singola vulnerabilità è stato segnalato da diversi ricercatori, la vincita è dato alla prima presentazione.
Se siete interessati al programma Identità Bounty e vogliono saperne di più su di esso, assicurarsi di leggere il descrizione completa offerto da Microsoft.