Microsoft объявляет о программе Identity Bounty для обнаружения серьезных уязвимостей в своих службах идентификации

Во вторник 17 июля^th, Microsoft объявила о своем Программа Identity Bounty который предоставляет премиальное вознаграждение исследователям и охотникам за ошибками, обнаружившим любые связанные с безопасностью уязвимости в его службах идентификации.

По словам Филиппа Миснера , Главный менеджер группы безопасности Microsoft Security Response Center, Microsoft вложила значительные средства в обеспечение конфиденциальности и безопасности своих решений идентификации потребителей и предприятий и сосредоточила внимание на постоянном улучшении строгой аутентификации, безопасных сеансов входа в систему, безопасности API и других важных задач, связанных с инфраструктурой. Он прокомментировал: «Мы серьезно инвестировали в создание, внедрение и улучшение спецификаций, связанных с идентификацией, которые способствуют надежной аутентификации, безопасному входу в систему, сеансам, безопасности API и другим важным задачам инфраструктуры, как часть сообщества экспертов по стандартам. в рамках официальных органов по стандартизации, таких как IETF, W3C или OpenID Foundation ».

Эта программа была запущена для обеспечения максимальной безопасности этой критически важной технологии для пользователей. Он предлагает исследователям ошибок и безопасности возможность сообщать Microsoft об уязвимостях в службах идентификации в частном порядке. Это позволит компании решить проблему до публикации своих технических деталей.

Детали выплаты

Выплаты по этой программе вознаграждений будут варьироваться от 500 до 100 000 долларов, что зависит от воздействия обнаруженной исследователями ошибки.

Критерии приемлемой заявки

Отправленные в Microsoft сообщения об уязвимостях должны соответствовать заданным критериям :

• Выявление исходной и ранее не зарегистрированной критической или важной уязвимости, которая воспроизводится в наших службах идентификации Microsoft, перечисленных в рамках области действия.
• Выявление исходной уязвимости, о которой ранее не сообщалось, которая приводит к захвату учетной записи Microsoft или Azure Active Directory.
• Выявление исходной уязвимости, о которой ранее не сообщалось, в перечисленных стандартах OpenID или в протоколе, реализованном в наших сертифицированных продуктах, услугах или библиотеках.
• Подайте заявку против любой версии приложения Microsoft Authenticator, но награды будут выплачиваться только в том случае, если ошибка воспроизводится в последней общедоступной версии.
• Включите описание проблемы и краткие шаги по воспроизводимости, которые легко понять. (Это позволяет обрабатывать заявки как можно быстрее и обеспечивает максимальную оплату за указанный тип уязвимости.)
• Включите влияние уязвимости
• Включите вектор атаки, если он не очевиден
• Для мобильных приложений результаты исследования уязвимостей должны быть воспроизведены в последней и обновленной версии мобильной ОС и приложения.

Также обнаруженная ошибка должна повлиять на любой из следующих инструментов:

• windows.net
• microsoftonline.com
• live.com
• live.com
• windowsazure.com
• activedirectory.windowsazure.com
• activedirectory.windowsazure.com
• office.com
• microsoftonline.com
• Microsoft Authenticator (приложения для iOS и Android) *
• OpenID Foundation - Семейство OpenID Connect
  • OpenID Connect Core
  • Открытие OpenID Connect
  • Сеанс OpenID Connect
  • Типы множественных ответов OAuth 2.0
  • Типы пост-ответа формы OAuth 2.0

Программа имеет смысл, учитывая, что у нее миллионы зарегистрированных пользователей по всему миру.

Более подробную информацию о программе, включая критерии оплаты, запрещенные методы безопасности исследований и критерии для неприемлемых заявок, можно получить. Вот .