Július 17-én, keddenth, A Microsoft bejelentette Identity Bounty Program amely prémium jutalomban részesíti azokat a hibakutatókat és vadászokat, akik azonosítási szolgáltatásaikban felfedeznek bármilyen biztonsági rést.
Phillip Misner szerint , A Microsoft Security Response Center fő biztonsági csoportjának vezetője, a Microsoft jelentős összegeket fektetett a fogyasztói és vállalati identitás-megoldások magánéletébe és biztonságába, és az erős hitelesítés, a biztonságos bejelentkezési munkamenetek, az API-biztonság és az ilyen kritikus infrastruktúrával kapcsolatos feladatok folyamatos fejlesztésére összpontosított. A következõket kommentálta: 'Erõsen fektettünk az identitáshoz kapcsolódó specifikációk létrehozásába, megvalósításába és fejlesztésébe, amelyek elõsegítik az erõs hitelesítést, a biztonságos bejelentkezést, a munkameneteket, az API biztonságát és más kritikus infrastrukturális feladatokat, a szabványszakértõk közösségének részeként. olyan hivatalos szabványügyi testületeken belül, mint az IETF, a W3C vagy az OpenID Alapítvány. ”
Ez a program azért jött létre, hogy ez a kritikus technológia a lehető legbiztonságosabb maradjon a felhasználók számára. Lehetőséget kínál a hibakeresőknek és a biztonsági kutatóknak arra, hogy az identitásszolgáltatások biztonsági réseit privát módon közöljék a Microsofttal. Ez lehetővé teszi a vállalat számára, hogy megoldja a problémát, mielőtt műszaki részleteit közzétenné.
Kifizetés részletei
Ennek a fejdíjas programnak a kifizetése 500 és 100 000 dollár között mozog, ami a kutatók által talált hiba hatásától függ.
Kiváló minőségű benyújtás | Alapvető minőségi benyújtás | Hiányos benyújtás | |
Jelentős hitelesítési bypass | Akár 40 000 USD | 10 000 USD-ig | 1000 dollártól |
Többtényezős hitelesítési bypass | 100 000 dollárig | Akár 50 000 USD | 1000 dollártól |
A szabványok kialakításának sebezhetőségei | 100 000 dollárig | 30 000 dollárig | 2500 dollártól |
Szabványokon alapuló megvalósítási sebezhetőségek | 75 000 dollárig | 25 000 dollárig | 2500 dollártól |
Helyek közötti parancsfájlok (XSS) | 10 000 USD-ig | 4000 dollárig | 1000 dollártól |
Webhelyek közötti kérelmek hamisítása (CSRF) | 20 000 dollárig | 5000 dollárig | 500 dollártól |
Engedélyezési hiba | 8000 dollárig | 4000 dollárig | 500 dollártól |
A támogatható benyújtás kritériumai
A Microsoftnak elküldött biztonsági rés-benyújtásoknak meg kell felelniük megfelelnek a megadott kritériumoknak :
- Azonosítson egy eredeti és korábban be nem jelentett kritikus vagy fontos biztonsági rést, amely a hatókörben felsorolt Microsoft Identity szolgáltatásainkban megismétlődik.
- Azonosítson egy eredeti és korábban be nem jelentett biztonsági rést, amely egy Microsoft-fiók vagy az Azure Active Directory-fiók átvételét eredményezi.
- Azonosítson egy eredeti és korábban be nem jelentett biztonsági rést a felsorolt OpenID-szabványokban vagy a tanúsított termékeinkben, szolgáltatásainkban vagy könyvtárainkban alkalmazott protokollal.
- Küldés a Microsoft Authenticator bármely verziójával szemben, de a fejdíjak csak akkor kerülnek kifizetésre, ha a hiba a legújabb, nyilvánosan elérhető verzióval reprodukálódik.
- Tartalmazza a probléma leírását és tömör, jól érthető reprodukálhatósági lépéseket. (Ez lehetővé teszi a beküldések lehető leggyorsabb feldolgozását, és támogatja a jelentett sebezhetőség típusának legmagasabb összegét.)
- Tartalmazza a sérülékenység hatását
- Tartalmazzon támadási vektort, ha nem nyilvánvaló
- Mobilalkalmazások esetén a sebezhetőségi kutatásokat a mobil operációs rendszer és az alkalmazás legújabb és frissített verzióján kell reprodukálni.
A felfedezett hibának a következő eszközök bármelyikére is hatással kell lennie:
- windows.net
- microsoftonline.com
- live.com
- live.com
- windowsazure.com
- activedirectory.windowsazure.com
- activedirectory.windowsazure.com
- office.com
- microsoftonline.com
- Microsoft Authenticator (iOS és Android alkalmazások) *
- OpenID Foundation - Az OpenID Connect család
- OpenID Connect Core
- OpenID Connect Discovery
- OpenID Connect munkamenet
- OAuth 2.0 több választípus
- OAuth 2.0 űrlap Válasz utáni típusok
A programnak van értelme, tekintve, hogy milliónyi regisztrált felhasználóval rendelkezik a világ minden tájáról.
További részletek a programról, beleértve a fizetési kritériumokat, a tiltott kutatási biztonsági módszereket és a nem támogatható benyújtások kritériumait itt .
Címkék Microsoft