Na terça-feira, 17 de julhoº, A Microsoft anunciou seu Programa Identity Bounty que oferece uma recompensa premium para pesquisadores de bugs e caçadores que descobrirem quaisquer vulnerabilidades relacionadas à segurança em seus serviços de identidade.
De acordo com Phillip Misner , Principal Security Group Manager do Microsoft Security Response Center, a Microsoft investiu pesadamente na privacidade e segurança de suas soluções de identidade corporativa e de consumidor e se concentrou na melhoria constante da autenticação forte, sessões de login seguras, segurança de API e tarefas relacionadas à infraestrutura crítica. Ele comentou: “Temos investido fortemente na criação, implementação e melhoria de especificações relacionadas à identidade que promovem autenticação forte, login seguro, sessões, segurança de API e outras tarefas críticas de infraestrutura, como parte da comunidade de especialistas em padrões dentro de órgãos de padrões oficiais, como IETF, W3C ou a OpenID Foundation. ”
Este programa foi lançado para garantir que essa tecnologia crítica permaneça o mais segura possível para os usuários. Ele oferece aos pesquisadores de bug e segurança a chance de revelar vulnerabilidades nos serviços de identidade para a Microsoft em particular. Isso permitirá que a empresa resolva o problema antes da publicação de seus detalhes técnicos.
Detalhes de pagamento
Os pagamentos para este programa de recompensas variam de $ 500 a $ 100.000, que depende do impacto do bug que os pesquisadores encontraram.
Submissão de alta qualidade | Envio de qualidade de linha de base | Submissão Incompleta | |
Significant Authentication Bypass | Até $ 40.000 | Até $ 10.000 | De $ 1.000 |
Bypass de autenticação multifator | Até $ 100.000 | Até $ 50.000 | De $ 1.000 |
Vulnerabilidades de design de padrões | Até $ 100.000 | Até $ 30.000 | De $ 2.500 |
Vulnerabilidades de implementação baseadas em padrões | Até $ 75.000 | Até $ 25.000 | De $ 2.500 |
Cross-Site Scripting (XSS) | Até $ 10.000 | Até $ 4.000 | De $ 1.000 |
Cross-Site Request Forgery (CSRF) | Até $ 20.000 | Até $ 5.000 | De $ 500 |
Falha de autorização | Até $ 8.000 | Até $ 4.000 | De $ 500 |
Critérios para uma submissão qualificada
Os envios de vulnerabilidade enviados à Microsoft devem atender aos critérios dados :
- Identifique uma vulnerabilidade crítica ou importante original e não relatada anteriormente que se reproduz em nossos serviços de identidade da Microsoft listados dentro do escopo.
- Identifique uma vulnerabilidade original e não relatada que resulta no controle de uma conta da Microsoft ou conta do Azure Active Directory.
- Identifique uma vulnerabilidade original e não relatada anteriormente nos padrões OpenID listados ou com o protocolo implementado em nossos produtos, serviços ou bibliotecas certificados.
- Envie qualquer versão do aplicativo Microsoft Authenticator, mas os prêmios de recompensa serão pagos apenas se o bug for reproduzido na versão mais recente disponível publicamente.
- Inclua uma descrição do problema e etapas de reprodutibilidade concisas que sejam facilmente compreendidas. (Isso permite que os envios sejam processados o mais rápido possível e oferece suporte ao pagamento mais alto para o tipo de vulnerabilidade relatada.)
- Inclui o impacto da vulnerabilidade
- Inclui um vetor de ataque se não for óbvio
- Para aplicativos móveis, a pesquisa de vulnerabilidade deve ser reproduzida na versão mais recente e atualizada do sistema operacional móvel e do aplicativo.
Além disso, o bug descoberto deve afetar qualquer uma das seguintes ferramentas:
- windows.net
- microsoftonline.com
- live.com
- live.com
- windowsazure.com
- activedirectory.windowsazure.com
- activedirectory.windowsazure.com
- office.com
- microsoftonline.com
- Microsoft Authenticator (aplicativos iOS e Android) *
- OpenID Foundation - A família OpenID Connect
- OpenID Connect Core
- OpenID Connect Discovery
- Sessão OpenID Connect
- Vários tipos de resposta OAuth 2.0
- Tipos de pós-resposta do formulário OAuth 2.0
O programa faz sentido, já que conta com milhões de usuários cadastrados em todo o mundo.
Mais detalhes sobre o programa, incluindo critérios de pagamento, métodos de segurança de pesquisa proibidos e critérios para inscrições inelegíveis podem ser obtidos aqui .
Tag Microsoft