ביום שלישי 17 ביוליה, הודיעה מיקרוסופט על תוכנית Bounty Identity אשר מעניק תגמול פרמיה לחוקרי ציידים ולציידים המגלים פגיעות הקשורות לאבטחה בשירותי הזהות שלה.
לדברי פיליפ מיסנר מנהל קבוצת אבטחה ראשי של Microsoft Security Response Center, מיקרוסופט השקיעה רבות בפרטיות ובאבטחה של פתרונות הזהות הצרכניים והארגוניים שלה והתמקדה בשיפור מתמיד של אימות חזק, כניסות מאובטחות, אבטחת API ומשימות קריטיות לתשתית. לדבריו, 'השקענו מאוד ביצירה, הטמעה ושיפור של מפרטים הקשורים לזהות המעודדים אימות חזק, כניסה מאובטחת, הפעלות, אבטחת API ומשימות תשתית קריטיות אחרות, כחלק מקהילת מומחי התקנים. בתוך גופי תקנים רשמיים כמו IETF, W3C או קרן OpenID. '
תוכנית זו הושקה על מנת להבטיח כי טכנולוגיה קריטית זו תישאר מאובטחת ככל האפשר עבור המשתמשים. זה מציע לחוקרי הבאגים והאבטחה את הסיכוי לחשוף פרצות בשירותי הזהות באופן פרטי עבור מיקרוסופט. זה יאפשר לחברה לפתור את הבעיה לפני פרסום הפרטים הטכניים שלה.
שלם פרטים
התשלומים עבור תוכנית שפע זו ינועו בין 500 $ ל 100,000 $ אשר תלוי בהשפעת הבאג שמצאו החוקרים.
| הגשה באיכות גבוהה | הגשת איכות בסיסית | הגשה לא שלמה | |
| עקיפת אימות משמעותית | עד 40,000 $ | עד 10,000 דולר | מ -1,000 דולר |
| עקיפת אימות מרובת גורמים | עד 100,000 דולר | עד 50,000 $ | מ -1,000 דולר |
| פגיעויות בתכנון תקנים | עד 100,000 דולר | עד 30,000 $ | מ -2,500 דולר |
| פגיעות יישום מבוססות תקנים | עד 75,000 $ | עד 25,000 $ | מ -2,500 דולר |
| Scripting חוצה אתרים (XSS) | עד 10,000 דולר | עד 4,000 $ | מ -1,000 דולר |
| זיוף בקשות בין אתרים (CSRF) | עד 20,000 $ | עד 5,000 דולר | מ -500 דולר |
| פגם באישור | עד 8,000 $ | עד 4,000 $ | מ -500 דולר |
קריטריונים להגשה זכאית
על הגשות הפגיעות שנשלחות למיקרוסופט לעמוד בקריטריונים הנתונים :
- זהה פגיעות קריטית או חשובה מקורית ולא דיווחה בעבר, המועתקת בשירותי Microsoft Identity שלנו המפורטים בהיקף.
- זהה פגיעות מקורית ולא דווחה בעבר, וכתוצאה מכך השתלטות על חשבון מיקרוסופט או חשבון Active Directory של Azure.
- זהה פגיעות מקורית ולא דווחה בעבר בתקני OpenID המפורטים או עם הפרוטוקול המיושם במוצרים, בשירותים או בספריות המוסמכות שלנו.
- הגש כנגד כל גרסה של יישום Microsoft Authenticator, אך פרסי השכר ישולמו רק אם הבאג ישתפר כנגד הגרסה האחרונה והזמינה בציבור.
- כלול תיאור הנושא וצעדים לשחזור תמציתיים המובנים בקלות. (זה מאפשר לעבד הגשות במהירות האפשרית ותומך בתשלום הגבוה ביותר עבור סוג הפגיעות המדווחת.)
- כלול את השפעת הפגיעות
- כלול וקטור התקפה אם לא ברור
- עבור יישומים ניידים, יש לשכפל מחקר פגיעויות בגרסה האחרונה והמעודכנת של מערכת ההפעלה והאפליקציה לנייד.
כמו כן, הבאג שהתגלה חייב להשפיע על אחד מהכלים הבאים:
- windows.net
- microsoftonline.com
- live.com
- live.com
- windowsazure.com
- activedirectory.windowsazure.com
- activedirectory.windowsazure.com
- office.com
- microsoftonline.com
- מאמת מיקרוסופט (יישומי iOS ו- Android) *
- קרן OpenID - משפחת OpenID Connect
- ליבת חיבור OpenID
- DiscoverID Connect Discovery
- מושב התחברות OpenID
- OAuth 2.0 סוגי תגובה מרובים
- סוגי תגובה של טופס OAuth 2.0
התוכנית הגיונית, בהתחשב בכך שיש לה מיליוני משתמשים רשומים בכל רחבי העולם.
ניתן לקבל פרטים נוספים על התוכנית, כולל קריטריוני תשלום, שיטות אבטחה מחקריות אסורות וקריטריונים להגשות שאינן כשירות כאן .
תגים מיקרוסופט
