Microsoft anuncia o Microsoft Identity Bounty Program

A Microsoft anunciou o lançamento do Microsoft Identity Bounty Program, que oferece recompensas para quem encontrar vulnerabilidades em seu “serviço de identidade”.

O programa oferece recompensas que variam de US$ 500 a US$ 100 mil dependendo do impacto da vulnerabilidade encontrada e da qualidade do relatório enviado.

Microsoft Identity Bounty Program

Mestre Jedi Microsoft anuncia o Microsoft Identity Bounty Program  O objetivo do Microsoft Identity Bounty Program é premiar os trabalhos que sejam um reflexo fiel da pesquisa por trás da vulnerabilidade detectada.

Nesse sentido, a expectativa por parte da Microsoft é que os pesquisadores inscritos possam compartilhar seus conhecimentos com seus engenheiros e desenvolvedores e que estes últimos possam entender e reproduzir rapidamente a descoberta do participante.

A apresentação de vulnerabilidades deve atender aos seguintes critérios:

– Identificar uma vulnerabilidade crítica ou importante, original e anteriormente não relatada, que se reproduza em nos serviços do Microsoft Identity listados no escopo;

– Identificar uma vulnerabilidade original e não relatada anteriormente que resulte na aquisição de uma Conta da Microsoft ou uma conta do Azure Active Directory;

– Identificar uma vulnerabilidade original e não declarada anteriormente nos padrões OpenID listados ou com o protocolo implementado em nossos produtos, serviços ou bibliotecas certificados;

– Enviar erros sobre qualquer versão do aplicativo Microsoft Authenticator, mas as recompensas só serão pagas se o bug for relacionado à última versão disponível publicamente;

– Incluir uma descrição do problema e etapas de reprodutibilidade concisas que sejam facilmente compreendidas;

– Incluir o impacto da vulnerabilidade;

– Incluir um vetor de ataque se não for óbvio.

Escopo do Microsoft Identity Bounty Program:

– login.windows.net
– login.microsoftonline.com
– login.live.com
– account.live.com

– account.windowsazure.com
– account.activedirectory.windowsazure.com
– credential.activedirectory.windowsazure.com
– portal.office.com
– passwordreset.microsoftonline.com
– Microsoft Authenticator (aplicativo para iOS e Android)

Profissionais de segurança interessados podem se registrar no Microsoft Identity Bounty Program clicando aqui.

Fonte: ESET Brasil

O post Microsoft anuncia o Microsoft Identity Bounty Program apareceu primeiro em BABOO.

Artigo original:
www.baboo.com.br