A Microsoft anunciou o lançamento do Microsoft Identity Bounty Program, que oferece recompensas para quem encontrar vulnerabilidades em seu “serviço de identidade”.
O programa oferece recompensas que variam de US$ 500 a US$ 100 mil dependendo do impacto da vulnerabilidade encontrada e da qualidade do relatório enviado.
Microsoft Identity Bounty Program
O objetivo do Microsoft Identity Bounty Program é premiar os trabalhos que sejam um reflexo fiel da pesquisa por trás da vulnerabilidade detectada.
Nesse sentido, a expectativa por parte da Microsoft é que os pesquisadores inscritos possam compartilhar seus conhecimentos com seus engenheiros e desenvolvedores e que estes últimos possam entender e reproduzir rapidamente a descoberta do participante.
A apresentação de vulnerabilidades deve atender aos seguintes critérios:
– Identificar uma vulnerabilidade crítica ou importante, original e anteriormente não relatada, que se reproduza em nos serviços do Microsoft Identity listados no escopo;
– Identificar uma vulnerabilidade original e não relatada anteriormente que resulte na aquisição de uma Conta da Microsoft ou uma conta do Azure Active Directory;
– Identificar uma vulnerabilidade original e não declarada anteriormente nos padrões OpenID listados ou com o protocolo implementado em nossos produtos, serviços ou bibliotecas certificados;
– Enviar erros sobre qualquer versão do aplicativo Microsoft Authenticator, mas as recompensas só serão pagas se o bug for relacionado à última versão disponível publicamente;
– Incluir uma descrição do problema e etapas de reprodutibilidade concisas que sejam facilmente compreendidas;
– Incluir o impacto da vulnerabilidade;
– Incluir um vetor de ataque se não for óbvio.
Escopo do Microsoft Identity Bounty Program:
– login.windows.net
– login.microsoftonline.com
– login.live.com
– account.live.com
– account.windowsazure.com
– account.activedirectory.windowsazure.com
– credential.activedirectory.windowsazure.com
– portal.office.com
– passwordreset.microsoftonline.com
– Microsoft Authenticator (aplicativo para iOS e Android)
Profissionais de segurança interessados podem se registrar no Microsoft Identity Bounty Program clicando aqui.
Fonte: ESET Brasil
O post Microsoft anuncia o Microsoft Identity Bounty Program apareceu primeiro em BABOO.
Artigo original:
www.baboo.com.br