Microsoft está iniciando um programa bug de recompensas que está focada na segurança do cliente. O programa é chamado Identidade Programa de Recompensa e vai oferecer recompensas que variam de $500 para $100,000 para vulnerabilidade de segurança inauguração em serviços de identidade da empresa.
O que é o programa Identity Bounty da Microsoft?
Conforme anunciado em uma postagem no blog de Philip Misner, Gerente Principal do Grupo de Segurança da Microsoft, a empresa “investiu fortemente na criação, implementação e melhoria de especificações relacionadas à identidade que promovem autenticação forte, início de sessão seguro, sessões, Segurança API, e outras tarefas críticas de infraestrutura, como parte da comunidade de especialistas em padrões dentro de órgãos oficiais de padrões, como IETF, W3C, ou a OpenID Foundation ”. Ele também comentou que a segurança das identidades digitais dos clientes no acesso ao serviço online é mais significativa do que nunca.
além do que, além do mais, o Programa Identity Bounty está dando a oportunidade aos pesquisadores de segurança de divulgar falhas nos serviços de identidade de maneira privada, permitindo que a Microsoft resolva os problemas divulgados antes de publicar os detalhes técnicos. O programa de recompensas também deve ser estendido a implementações específicas de padrões OpenID selecionados.
Como sempre, o programa de recompensa de bug tem certos critérios que devem ser atendidos para que o envio seja aceito:
– Identifique uma vulnerabilidade crítica ou importante original e não relatada anteriormente que se reproduz em nossos serviços de identidade da Microsoft listados dentro do escopo;
– Identificar uma vulnerabilidade original e não relatada anteriormente que resulta no controle de uma conta da Microsoft ou conta do Azure Active Directory;
– Identifique uma vulnerabilidade original e não relatada anteriormente em padrões OpenID listados ou com o protocolo implementado em nossos produtos certificados, Serviços, ou bibliotecas;
– Envie em qualquer versão do aplicativo Microsoft Authenticator, mas os prêmios de recompensa só serão pagos se o bug for reproduzido no último, versão publicamente disponível;
– Inclua uma descrição do problema e etapas de reprodutibilidade concisas que são facilmente compreendidas. (Isso permite que os envios sejam processados o mais rápido possível e oferece suporte ao pagamento mais alto para o tipo de vulnerabilidade relatada.);
– Inclui o impacto da vulnerabilidade;
– Incluir um vetor de ataque se não for óbvio.
além do que, além do mais, A Microsoft também revelou as ferramentas de login e autenticação incluídas neste programa:
login.windows.net
login.microsoftonline.com
login.live.com
account.live.com
account.windowsazure.com
account.activedirectory.windowsazure.com
credential.activedirectory.windowsazure.com
portal.office.com
passwordreset.microsoftonline.com
Autenticador Microsoft (Aplicativos iOS e Android)
Deve-se observar que, para aplicativos móveis, a vulnerabilidade descoberta deve ser reproduzida na versão mais recente do aplicativo específico e no sistema operacional móvel.
Quanto aos pagamentos, quantias mais altas são normalmente dadas a pesquisadores que forneceram relatórios de alta qualidade com quantidade suficiente de dados. Relatórios de vulnerabilidade com maior impacto também recebem mais dinheiro. Pelo contrário, falhas que exigem a interação do usuário para serem exploradas serão recompensadas com pagamentos mais baixos. Nos casos em que uma única vulnerabilidade foi relatada por diferentes pesquisadores, o pagamento é dado ao primeiro envio.
Se você está interessado no Programa Identity Bounty e deseja saber mais sobre ele, certifique-se de ler o descrição completa oferecido pela Microsoft.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: