Otrdien, 17. jūlijāth, Microsoft paziņoja par to Identitātes veltes programma kas piešķir prēmiju kļūdu pētniekiem un medniekiem, kuri savos identitātes pakalpojumos atklāj jebkādas ar drošību saistītas vājās vietas.
Pēc Filipa Misnera teiktā , Microsoft drošības reaģēšanas centra galvenais drošības grupas vadītājs, Microsoft ir ieguldījis ievērojamus ieguldījumus savu patērētāju un uzņēmuma identitātes risinājumu privātumā un drošībā un ir koncentrējies uz pastāvīgu spēcīgas autentifikācijas, drošas pierakstīšanās sesiju, API drošības un šādu ar kritisko infrastruktūru saistītu uzdevumu pastāvīgu uzlabošanu. Viņš komentēja: “Mēs esam ieguldījuši lielus ieguldījumus ar identitāti saistītu specifikāciju izveidē, ieviešanā un uzlabošanā, kas veicina spēcīgu autentifikāciju, drošu pierakstīšanos, sesijas, API drošību un citus kritiskās infrastruktūras uzdevumus kā daļu no standartu ekspertu kopienas. oficiālās standartizācijas institūcijās, piemēram, IETF, W3C vai OpenID Foundation. ”
Šī programma ir uzsākta, lai nodrošinātu, ka šī kritiskā tehnoloģija lietotājiem ir pēc iespējas drošāka. Tas piedāvā kļūdu un drošības pētniekiem iespēju privāti atklāt Microsoft identitātes pakalpojumu vājās vietas. Tas ļaus uzņēmumam atrisināt problēmu pirms tā tehniskās detaļas publicēšanas.
Izmaksas informācija
Šīs atalgojuma programmas izmaksas būs no 500 līdz 100 000 ASV dolāriem, kas ir atkarīgs no pētnieku atrastās kļūdas ietekmes.
Augstas kvalitātes iesniegšana | Sākotnējā kvalitātes iesniegšana | Nepilnīga iesniegšana | |
Nozīmīgs autentifikācijas apvedceļš | Līdz 40 000 USD | Līdz 10 000 USD | Sākot no 1000 USD |
Daudzfaktoru autentifikācijas apvedceļš | Līdz 100 000 USD | Līdz 50 000 USD | Sākot no 1000 USD |
Standarta dizaina ievainojamības | Līdz 100 000 USD | Līdz 30 000 USD | Sākot no 2500 USD |
Uz standartiem balstītas ieviešanas ievainojamības | Līdz 75 000 USD | Līdz 25 000 USD | Sākot no 2500 USD |
Starp vietņu skriptu izveidošana (XSS) | Līdz 10 000 USD | Līdz 4000 USD | Sākot no 1000 USD |
Vairāku vietņu pieprasījumu viltojums (CSRF) | Līdz 20 000 USD | Līdz 5000 USD | Sākot no 500 USD |
Autorizācijas kļūda | Līdz 8000 USD | Līdz 4000 USD | Sākot no 500 USD |
Kritēriji atbilstošam iesniegumam
Microsoft jānosūta ievainojamības iesniegumi atbilst norādītajiem kritērijiem :
- Identificējiet oriģinālu un iepriekš neziņotu kritisku vai svarīgu ievainojamību, kas tiek reproducēta mūsu Microsoft Identity pakalpojumos, kas ir iekļauti darbības jomā.
- Identificējiet oriģinālu un iepriekš neziņotu ievainojamību, kuras rezultātā tiek pārņemts Microsoft konts vai Azure Active Directory konts.
- Identificējiet oriģinālo un iepriekš neziņoto ievainojamību uzskaitītajos OpenID standartos vai ar protokolu, kas ieviests mūsu sertificētajos produktos, pakalpojumos vai bibliotēkās.
- Iesniegt pret jebkuru Microsoft Authenticator lietojumprogrammas versiju, bet balvu prēmijas tiks izmaksātas tikai tad, ja kļūda tiks atkārtota salīdzinājumā ar jaunāko, publiski pieejamo versiju.
- Iekļaujiet problēmas aprakstu un kodolīgus, viegli saprotamus atkārtojamības soļus. (Tas ļauj iesniegumus apstrādāt pēc iespējas ātrāk un atbalsta vislielāko samaksu par ziņoto ievainojamības veidu.)
- Iekļaujiet ievainojamības ietekmi
- Iekļaujiet uzbrukuma vektoru, ja tas nav acīmredzams
- Mobilajām lietojumprogrammām ievainojamības izpēte ir jāatveido jaunākajā un atjauninātajā mobilās OS un lietotnes versijā.
Atklātajai kļūdai ir jāietekmē kāds no šiem rīkiem:
- windows.net
- microsoftonline.com
- live.com
- live.com
- windowsazure.com
- activedirectory.windowsazure.com
- activedirectory.windowsazure.com
- office.com
- microsoftonline.com
- Microsoft autentifikators (iOS un Android lietojumprogrammas) *
- OpenID Foundation - OpenID Connect ģimene
- OpenID Connect Core
- OpenID Connect Discovery
- OpenID Connect sesija
- OAuth 2.0 vairāku veidu atbildes
- OAuth 2.0 veidlapa pēc atbildes veidiem
Programmai ir jēga, ņemot vērā, ka tai ir miljoniem reģistrētu lietotāju visā pasaulē.
Var iegūt sīkāku informāciju par programmu, tostarp apmaksas kritērijus, aizliegtas pētījumu drošības metodes un neatbilstošu iesniegumu kritērijus šeit .
Tagi Microsoft