Η Microsoft ανακοινώνει το «πρόγραμμα ταυτότητας Bounty» για την ανακάλυψη σοβαρών ευπαθειών στις υπηρεσίες ταυτότητάς της

Την Τρίτη 17 Ιουλίου^ου, Η Microsoft ανακοίνωσε Πρόγραμμα ταυτότητας Bounty η οποία δίνει μια εξαιρετική ανταμοιβή για ερευνητές σφαλμάτων και κυνηγούς που ανακαλύπτουν τυχόν ευπάθειες σχετικά με την ασφάλεια στις υπηρεσίες ταυτότητάς της

Σύμφωνα με τον Phillip Misner , Principal Security Group Manager του Microsoft Security Response Center, η Microsoft έχει επενδύσει σε μεγάλο βαθμό στο απόρρητο και την ασφάλεια των καταναλωτικών και εταιρικών λύσεων ταυτότητάς της και έχει επικεντρωθεί στη συνεχή βελτίωση ισχυρού ελέγχου ταυτότητας, ασφαλών συνεδριών σύνδεσης, ασφάλειας API και τέτοιων κρίσιμων υποδομών. Σχολίασε: «Έχουμε επενδύσει έντονα στη δημιουργία, την εφαρμογή και τη βελτίωση των προδιαγραφών που σχετίζονται με την ταυτότητα που προωθούν τον ισχυρό έλεγχο ταυτότητας, την ασφαλή είσοδο, τις συνεδρίες, την ασφάλεια API και άλλες κρίσιμες εργασίες υποδομής, ως μέρος της κοινότητας εμπειρογνωμόνων προτύπων εντός επίσημων οργανισμών τυποποίησης όπως το IETF, το W3C ή το OpenID Foundation. '

Αυτό το πρόγραμμα ξεκίνησε για να διασφαλίσει ότι αυτή η κρίσιμη τεχνολογία παραμένει όσο το δυνατόν ασφαλέστερη για τους χρήστες. Προσφέρει στους ερευνητές σφάλματος και ασφάλειας την ευκαιρία να αποκαλύψουν ιδιωτικά τις ευπάθειες στις υπηρεσίες ταυτότητας στη Microsoft. Αυτό θα επιτρέψει στην εταιρεία να επιλύσει το πρόβλημα πριν από τη δημοσίευση των τεχνικών της λεπτομερειών.

Πληρωμή Λεπτομέρειες

Οι πληρωμές για αυτό το πρόγραμμα γενναιοδωρίας θα κυμαίνονται από $ 500 έως 100.000 $ που εξαρτάται από την επίδραση του σφάλματος που έχουν βρει οι ερευνητές.

Κριτήρια για μια επιλέξιμη υποβολή

Οι υποβολές ευπάθειας που αποστέλλονται στη Microsoft πρέπει πληρούν τα δεδομένα κριτήρια :

• Προσδιορίστε ένα πρωτότυπο και προηγουμένως μη αναφερόμενο κρίσιμο ή σημαντικό θέμα ευπάθειας που αναπαράγεται στις υπηρεσίες Microsoft Identity που παρατίθενται εντός του πεδίου εφαρμογής.
• Προσδιορίστε μια πρωτότυπη και προηγουμένως μη αναφερόμενη ευπάθεια που έχει ως αποτέλεσμα την ανάληψη λογαριασμού Microsoft ή λογαριασμού Azure Active Directory.
• Προσδιορίστε μια πρωτότυπη και προηγουμένως μη αναφερόμενη ευπάθεια στα αναφερόμενα πρότυπα OpenID ή με το πρωτόκολλο που εφαρμόζεται στα πιστοποιημένα προϊόντα, υπηρεσίες ή βιβλιοθήκες μας.
• Υποβολή έναντι οποιασδήποτε έκδοσης της εφαρμογής Microsoft Authenticator, αλλά τα βραβεία γενναιοδωρίας θα πληρωθούν μόνο εάν το σφάλμα αναπαράγεται σε σχέση με την τελευταία, δημόσια διαθέσιμη έκδοση.
• Συμπεριλάβετε μια περιγραφή του ζητήματος και συνοπτικά βήματα αναπαραγωγιμότητας που είναι εύκολα κατανοητά. (Αυτό επιτρέπει την επεξεργασία των υποβολών το συντομότερο δυνατό και υποστηρίζει την υψηλότερη πληρωμή για τον τύπο ευπάθειας που αναφέρεται.)
• Συμπεριλάβετε τον αντίκτυπο της ευπάθειας
• Συμπεριλάβετε ένα φορέα επίθεσης εάν δεν είναι προφανές
• Για εφαρμογές για κινητά, η έρευνα σχετικά με την ευπάθεια πρέπει να αναπαραχθεί στην πιο πρόσφατη και ενημερωμένη έκδοση του λειτουργικού συστήματος και της εφαρμογής για κινητά.

Επίσης, το εντοπισμένο σφάλμα πρέπει να επηρεάσει οποιοδήποτε από τα ακόλουθα εργαλεία:

• windows.net
• microsoftonline.com
• live.com
• live.com
• windowsazure.com
• activedirectory.windowsazure.com
• activedirectory.windowsazure.com
• office.com
• microsoftonline.com
• Microsoft Authenticator (εφαρμογές iOS και Android) *
• OpenID Foundation - Η οικογένεια OpenID Connect
  • OpenID Connect Core
  • OpenID Connect Ανακάλυψη
  • Συνεδρία OpenID Connect
  • OAuth 2.0 Πολλαπλοί τύποι απόκρισης
  • Τύποι απάντησης φόρμας OAuth 2.0

Το πρόγραμμα έχει νόημα, δεδομένου ότι έχει εκατομμύρια εγγεγραμμένους χρήστες σε όλο τον κόσμο.

Μπορείτε να βρείτε περισσότερες λεπτομέρειες σχετικά με το πρόγραμμα, συμπεριλαμβανομένων κριτηρίων πληρωμής, απαγορευμένων μεθόδων ασφάλειας έρευνας και κριτηρίων για μη επιλέξιμες υποβολές εδώ .