マイクロソフトは、最大の支払いでアイデンティティバウンティプログラムを開始します $100,000

マイクロソフトは、顧客のセキュリティに焦点を当てたバグ報奨金プログラムを開始しています. このプログラムはアイデンティティバウンティプログラムと呼ばれ、 $500 に $100,000 会社のIDサービスのセキュリティの脆弱性を明らかにするため.

マイクロソフトのアイデンティティバウンティプログラムとは何ですか

PhilipMisnerによるブログ投稿で発表されたように, マイクロソフトのプリンシパルセキュリティグループマネージャー, 同社は「創造に強力に投資してきました, 強力な認証を促進するID関連の仕様の実装と改善, 安全なサインオン, セッション, APIセキュリティ, およびその他の重要なインフラストラクチャタスク, IETFなどの公式標準化団体内の標準化専門家のコミュニティの一部として, W3C, またはOpenIDFoundation」. 彼はまた、オンラインでサービスにアクセスする際の顧客のデジタルIDのセキュリティがこれまで以上に重要であるとコメントしました。.

加えて, Identity Bounty Programは、セキュリティ研究者にIDサービスの欠陥を非公開で開示する機会を与えています。, 技術的な詳細を公開する前に、マイクロソフトが開示された問題を解決できるようにする. バウンティプログラムは、選択したOpenID標準の特定の実装にも拡張する必要があります.

いつものように, バグバウンティプログラムには、提出を受け入れるために満たす必要のある特定の基準があります:

– スコープ内にリストされているMicrosoftIdentityサービスで再現される、元の、以前に報告されていない重大または重要な脆弱性を特定します;
– MicrosoftアカウントまたはAzureActiveDirectoryアカウントの乗っ取りにつながる元の脆弱性と以前に報告されていない脆弱性を特定します;
– リストされたOpenID標準、または認定製品に実装されたプロトコルで、元の脆弱性と以前に報告されていない脆弱性を特定します, サービス, またはライブラリ;
– 任意のバージョンのMicrosoftAuthenticatorアプリケーションに対して送信する, ただし、賞金は、バグが最新のものに対して再現された場合にのみ支払われます。, 公開されているバージョン;
– 問題の説明と、簡単に理解できる簡潔な再現性の手順を含めます. (これにより、提出物を可能な限り迅速に処理でき、報告されている脆弱性の種類に対して最高額の支払いをサポートします。);
– 脆弱性の影響を含める;
– 明らかでない場合は攻撃ベクトルを含める.

加えて, マイクロソフトはまた、このプログラムに含まれているログインおよび認証ツールを明らかにしました:

login.windows.net
login.microsoftonline.com
login.live.com
account.live.com
account.windowsazure.com
account.activedirectory.windowsazure.com
credential.activedirectory.windowsazure.com
portal.office.com
passwordreset.microsoftonline.com
Microsoft Authenticator (iOSおよびAndroidアプリケーション)

モバイルアプリケーションの場合は注意が必要です, 発見された脆弱性は、特定のアプリとモバイルオペレーティングシステムの最新バージョンで再現する必要があります.

支払いについては, 通常、十分な量のデータを含む高品質のレポートを提供した研究者には、より多くの金額が提供されます。. 影響の大きい脆弱性レポートにも、より多くのお金が支払われます. それどころか, ユーザーの操作を悪用する必要がある欠陥は、より低い支払いで報われます. 単一の脆弱性がさまざまな研究者によって報告された場合, 支払いは最初の提出に与えられます.

Identity Bounty Programに興味があり、それについてもっと知りたい場合, 必ずお読みください 完全な説明 マイクロソフトが提供.