A Microsoft anuncia o ‘Identity Bounty Program’ para descobrir vulnerabilidades graves em seus serviços de identidade

Na terça-feira, 17 de julho^º, A Microsoft anunciou seu Programa Identity Bounty que oferece uma recompensa premium para pesquisadores de bugs e caçadores que descobrirem quaisquer vulnerabilidades relacionadas à segurança em seus serviços de identidade.

De acordo com Phillip Misner , Principal Security Group Manager do Microsoft Security Response Center, a Microsoft investiu pesadamente na privacidade e segurança de suas soluções de identidade corporativa e de consumidor e se concentrou na melhoria constante da autenticação forte, sessões de login seguras, segurança de API e tarefas relacionadas à infraestrutura crítica. Ele comentou: “Temos investido fortemente na criação, implementação e melhoria de especificações relacionadas à identidade que promovem autenticação forte, login seguro, sessões, segurança de API e outras tarefas críticas de infraestrutura, como parte da comunidade de especialistas em padrões dentro de órgãos de padrões oficiais, como IETF, W3C ou a OpenID Foundation. ”

Este programa foi lançado para garantir que essa tecnologia crítica permaneça o mais segura possível para os usuários. Ele oferece aos pesquisadores de bug e segurança a chance de revelar vulnerabilidades nos serviços de identidade para a Microsoft em particular. Isso permitirá que a empresa resolva o problema antes da publicação de seus detalhes técnicos.

Detalhes de pagamento

Os pagamentos para este programa de recompensas variam de $ 500 a $ 100.000, que depende do impacto do bug que os pesquisadores encontraram.

Critérios para uma submissão qualificada

Os envios de vulnerabilidade enviados à Microsoft devem atender aos critérios dados :

• Identifique uma vulnerabilidade crítica ou importante original e não relatada anteriormente que se reproduz em nossos serviços de identidade da Microsoft listados dentro do escopo.
• Identifique uma vulnerabilidade original e não relatada que resulta no controle de uma conta da Microsoft ou conta do Azure Active Directory.
• Identifique uma vulnerabilidade original e não relatada anteriormente nos padrões OpenID listados ou com o protocolo implementado em nossos produtos, serviços ou bibliotecas certificados.
• Envie qualquer versão do aplicativo Microsoft Authenticator, mas os prêmios de recompensa serão pagos apenas se o bug for reproduzido na versão mais recente disponível publicamente.
• Inclua uma descrição do problema e etapas de reprodutibilidade concisas que sejam facilmente compreendidas. (Isso permite que os envios sejam processados ​​o mais rápido possível e oferece suporte ao pagamento mais alto para o tipo de vulnerabilidade relatada.)
• Inclui o impacto da vulnerabilidade
• Inclui um vetor de ataque se não for óbvio
• Para aplicativos móveis, a pesquisa de vulnerabilidade deve ser reproduzida na versão mais recente e atualizada do sistema operacional móvel e do aplicativo.

Além disso, o bug descoberto deve afetar qualquer uma das seguintes ferramentas:

• windows.net
• microsoftonline.com
• live.com
• live.com
• windowsazure.com
• activedirectory.windowsazure.com
• activedirectory.windowsazure.com
• office.com
• microsoftonline.com
• Microsoft Authenticator (aplicativos iOS e Android) *
• OpenID Foundation - A família OpenID Connect
  • OpenID Connect Core
  • OpenID Connect Discovery
  • Sessão OpenID Connect
  • Vários tipos de resposta OAuth 2.0
  • Tipos de pós-resposta do formulário OAuth 2.0

O programa faz sentido, já que conta com milhões de usuários cadastrados em todo o mundo.

Mais detalhes sobre o programa, incluindo critérios de pagamento, métodos de segurança de pesquisa proibidos e critérios para inscrições inelegíveis podem ser obtidos aqui .