A Microsoft bejelenti az „Identity Bounty Program” programot, amelynek célja a személyi azonosító szolgáltatásaiban található súlyos sebezhető pontok felfedezése

Július 17-én, kedden^th, A Microsoft bejelentette Identity Bounty Program amely prémium jutalomban részesíti azokat a hibakutatókat és vadászokat, akik azonosítási szolgáltatásaikban felfedeznek bármilyen biztonsági rést.

Phillip Misner szerint , A Microsoft Security Response Center fő biztonsági csoportjának vezetője, a Microsoft jelentős összegeket fektetett a fogyasztói és vállalati identitás-megoldások magánéletébe és biztonságába, és az erős hitelesítés, a biztonságos bejelentkezési munkamenetek, az API-biztonság és az ilyen kritikus infrastruktúrával kapcsolatos feladatok folyamatos fejlesztésére összpontosított. A következõket kommentálta: 'Erõsen fektettünk az identitáshoz kapcsolódó specifikációk létrehozásába, megvalósításába és fejlesztésébe, amelyek elõsegítik az erõs hitelesítést, a biztonságos bejelentkezést, a munkameneteket, az API biztonságát és más kritikus infrastrukturális feladatokat, a szabványszakértõk közösségének részeként. olyan hivatalos szabványügyi testületeken belül, mint az IETF, a W3C vagy az OpenID Alapítvány. ”

Ez a program azért jött létre, hogy ez a kritikus technológia a lehető legbiztonságosabb maradjon a felhasználók számára. Lehetőséget kínál a hibakeresőknek és a biztonsági kutatóknak arra, hogy az identitásszolgáltatások biztonsági réseit privát módon közöljék a Microsofttal. Ez lehetővé teszi a vállalat számára, hogy megoldja a problémát, mielőtt műszaki részleteit közzétenné.

Kifizetés részletei

Ennek a fejdíjas programnak a kifizetése 500 és 100 000 dollár között mozog, ami a kutatók által talált hiba hatásától függ.

A támogatható benyújtás kritériumai

A Microsoftnak elküldött biztonsági rés-benyújtásoknak meg kell felelniük megfelelnek a megadott kritériumoknak :

• Azonosítson egy eredeti és korábban be nem jelentett kritikus vagy fontos biztonsági rést, amely a hatókörben felsorolt ​​Microsoft Identity szolgáltatásainkban megismétlődik.
• Azonosítson egy eredeti és korábban be nem jelentett biztonsági rést, amely egy Microsoft-fiók vagy az Azure Active Directory-fiók átvételét eredményezi.
• Azonosítson egy eredeti és korábban be nem jelentett biztonsági rést a felsorolt ​​OpenID-szabványokban vagy a tanúsított termékeinkben, szolgáltatásainkban vagy könyvtárainkban alkalmazott protokollal.
• Küldés a Microsoft Authenticator bármely verziójával szemben, de a fejdíjak csak akkor kerülnek kifizetésre, ha a hiba a legújabb, nyilvánosan elérhető verzióval reprodukálódik.
• Tartalmazza a probléma leírását és tömör, jól érthető reprodukálhatósági lépéseket. (Ez lehetővé teszi a beküldések lehető leggyorsabb feldolgozását, és támogatja a jelentett sebezhetőség típusának legmagasabb összegét.)
• Tartalmazza a sérülékenység hatását
• Tartalmazzon támadási vektort, ha nem nyilvánvaló
• Mobilalkalmazások esetén a sebezhetőségi kutatásokat a mobil operációs rendszer és az alkalmazás legújabb és frissített verzióján kell reprodukálni.

A felfedezett hibának a következő eszközök bármelyikére is hatással kell lennie:

• windows.net
• microsoftonline.com
• live.com
• live.com
• windowsazure.com
• activedirectory.windowsazure.com
• activedirectory.windowsazure.com
• office.com
• microsoftonline.com
• Microsoft Authenticator (iOS és Android alkalmazások) *
• OpenID Foundation - Az OpenID Connect család
  • OpenID Connect Core
  • OpenID Connect Discovery
  • OpenID Connect munkamenet
  • OAuth 2.0 több választípus
  • OAuth 2.0 űrlap Válasz utáni típusok

A programnak van értelme, tekintve, hogy milliónyi regisztrált felhasználóval rendelkezik a világ minden tájáról.

További részletek a programról, beleértve a fizetési kritériumokat, a tiltott kutatási biztonsági módszereket és a nem támogatható benyújtások kritériumait itt .