У уторак 17. јулатх, Мицрософт је најавио свој Програм награђивања идентитета што даје премиум награду истраживачима грешака и ловцима који открију било какве безбедносне рањивости у његовим услугама идентитета.
Према Филипу Миснеру , Главни менаџер безбедносне групе Мицрософт Сецурити Респонсе Центер-а, Мицрософт је уложио велика средства у приватност и сигурност својих решења за идентитет потрошача и предузећа и усредсредио се на стално побољшање јаке потврде идентитета, сигурних сесија пријављивања, сигурности АПИ-ја и таквих задатака повезаних са критичном инфраструктуром. Коментарисао је, „Снажно смо уложили у стварање, имплементацију и побољшање спецификација повезаних са идентитетом које негују снажну аутентификацију, сигурну пријаву, сесије, АПИ сигурност и друге критичне инфраструктурне задатке, као део заједнице стручњака за стандарде. у оквиру званичних тела за стандарде као што су ИЕТФ, В3Ц или ОпенИД Фоундатион. “
Овај програм је покренут како би се осигурало да ова критична технологија остане што сигурнија за кориснике. Нуди истраживачима грешака и безбедности могућност приватног откривања рањивости у услугама идентитета Мицрософту. Ово ће омогућити компанији да реши проблем пре објављивања својих техничких детаља.
Детаљи исплате
Исплате за овај програм награђивања кретаће се између 500 и 100 000 америчких долара, што зависи од утицаја грешке коју су истраживачи открили.
Подношење високог квалитета | Подношење основног квалитета | Непотпуни поднесак | |
Значајно заобилажење аутентификације | До 40.000 долара | До 10.000 УСД | Од 1.000 долара |
Обилазница за вишеструку аутентификацију | До 100.000 долара | До 50.000 долара | Од 1.000 долара |
Рањивости дизајна стандарда | До 100.000 долара | До 30.000 долара | Од 2.500 долара |
Рањивости имплементације засноване на стандардима | До 75.000 долара | До 25.000 долара | Од 2.500 долара |
Цросс-Сите Сцриптинг (КССС) | До 10.000 УСД | До 4.000 долара | Од 1.000 долара |
Кривотворење захтева за више локација (ЦСРФ) | До 20.000 долара | До 5.000 долара | Од 500 долара |
Недостатак одобрења | До 8.000 долара | До 4.000 долара | Од 500 долара |
Критеријуми за прихватљиву пријаву
Поднесци о рањивости послати Мицрософту морају испуњавају дате критеријуме :
- Утврдите оригиналну и претходно непријављену критичну или важну рањивост која се репродукује у нашим услугама Мицрософт Идентити које су наведене у опсегу.
- Утврдите оригиналну и претходно непријављену рањивост која резултира преузимањем Мицрософт налога или налога Азуре Ацтиве Дирецтори.
- Утврдите оригиналну и претходно непријављену рањивост у наведеним ОпенИД стандардима или у протоколу имплементираном у наше сертификоване производе, услуге или библиотеке.
- Предложите против било које верзије апликације Мицрософт Аутхентицатор, али награде у облику награде ће бити исплаћене само ако се грешка репродукује у односу на најновију, јавно доступну верзију.
- Укључите опис проблема и сажете кораке поновљивости који се лако могу разумети. (Ово омогућава обраду поднесака што је брже могуће и подржава највеће плаћање за врсту угрожености која се пријављује.)
- Укључите утицај рањивости
- Укључите вектор напада ако није очигледан
- За мобилне апликације, истраживање рањивости мора се репродуковати на најновијој и ажурираној верзији мобилног ОС-а и апликације.
Такође, откривена грешка мора утицати на било који од следећих алата:
- виндовс.нет
- мицрософтонлине.цом
- ливе.цом
- ливе.цом
- виндовсазуре.цом
- ацтиведирецтори.виндовсазуре.цом
- ацтиведирецтори.виндовсазуре.цом
- оффице.цом
- мицрософтонлине.цом
- Мицрософт Аутхентицатор (иОС и Андроид апликације) *
- ОпенИД Фоундатион - породица ОпенИД Цоннецт
- ОпенИД Цоннецт Цоре
- ОпенИД Цоннецт Дисцовери
- Сесија ОпенИД Цоннецт
- Више типова одговора ОАутх 2.0
- Типови одговора на образац ОАутх 2.0
Програм има смисла с обзиром на то да има милионе регистрованих корисника широм света.
Више детаља о програму, укључујући критеријуме плаћања, забрањене методе заштите истраживања и критеријуме за неприхватљиве пријаве може се добити овде .
Ознаке Мицрософт