Microsoft обявява „Identity Bounty Program“ за откриване на сериозни уязвимости в своите Identity Services

Във вторник, 17 юли^ти, Microsoft обяви своя Програма за награди за самоличност което дава първокласна награда за изследователи на грешки и ловци, които открият всякакви уязвимости, свързани със сигурността, в нейните услуги за идентичност.

Според Филип Миснер , Главен мениджър на групата за сигурност на Microsoft Security Response Center, Microsoft инвестира сериозно в поверителността и сигурността на своите решения за идентичност на потребителите и предприятията и се фокусира върху непрекъснатото подобряване на силното удостоверяване, защитените сесии за влизане, защитата на API и такива задачи, свързани с критична инфраструктура. Той коментира: „Ние инвестирахме силно в създаването, внедряването и подобряването на спецификациите, свързани с идентичността, които насърчават силна автентификация, сигурно влизане, сесии, API защита и други важни инфраструктурни задачи, като част от общността на експертите по стандарти в рамките на официални органи за стандарти като IETF, W3C или OpenID Foundation. '

Тази програма е стартирана, за да гарантира, че тази критична технология остава възможно най-сигурна за потребителите. Той предлага на изследователите за грешки и сигурност възможността за разкриване на уязвимости в услугите за самоличност на Microsoft частно. Това ще позволи на компанията да разреши проблема преди публикуването на техническите му подробности.

Подробности за изплащане

Изплащанията за тази програма за награди ще варират от 500 до 100 000 долара, което зависи от въздействието на грешката, която откриха изследователите.

Критерии за допустимо подаване

Изпратените до Microsoft уязвимости трябва да трябва отговарят на дадените критерии :

• Идентифицирайте оригинална и неотчетена критична или важна уязвимост, която се възпроизвежда в нашите услуги за идентификация на Microsoft, които са изброени в обхвата.
• Идентифицирайте оригинална и неотчетена преди това уязвимост, която води до поемане на акаунт в Microsoft или акаунт в Azure Active Directory.
• Идентифицирайте оригинална и неотчетена преди това уязвимост в изброените стандарти на OpenID или с протокола, внедрен в нашите сертифицирани продукти, услуги или библиотеки.
• Изпратете срещу която и да е версия на приложението Microsoft Authenticator, но награди за награди ще бъдат изплатени само ако грешката се възпроизвежда срещу последната, публично достъпна версия.
• Включете описание на проблема и кратки стъпки за възпроизводимост, които са лесно разбираеми. (Това позволява възможно най-бързото обработване на подадените материали и поддържа най-високото заплащане за типа на отчитаната уязвимост.)
• Включете въздействието на уязвимостта
• Включете вектор за атака, ако не е очевиден
• За мобилни приложения изследванията за уязвимост трябва да се възпроизвеждат в най-новата и актуализирана версия на мобилната операционна система и приложението.

Също така, откритата грешка трябва да повлияе на някой от следните инструменти:

• windows.net
• microsoftonline.com
• live.com
• live.com
• windowsazure.com
• activedirectory.windowsazure.com
• activedirectory.windowsazure.com
• office.com
• microsoftonline.com
• Microsoft Authenticator (приложения за iOS и Android) *
• OpenID Foundation - семейството OpenID Connect
  • Ядро на OpenID Connect
  • Откриване на OpenID Connect
  • OpenID Connect сесия
  • OAuth 2.0 Многократни типове отговори
  • OAuth 2.0 Типове отговори на формуляри за OAuth 2.0

Програмата има смисъл, тъй като има милиони регистрирани потребители по целия свят.

Повече подробности за програмата, включително критерии за плащане, забранени методи за сигурност на изследванията и критерии за недопустими заявления могат да бъдат получени тук .