ในวันอังคารที่ 17 กรกฎาคมธMicrosoft ประกาศ โปรแกรม Identity Bounty ซึ่งให้รางวัลพิเศษสำหรับนักวิจัยข้อบกพร่องและนักล่าที่ค้นพบช่องโหว่ที่เกี่ยวข้องกับความปลอดภัยในบริการระบุตัวตน
อ้างอิงจาก Phillip Misner ผู้จัดการกลุ่มความปลอดภัยหลักของ Microsoft Security Response Center ไมโครซอฟท์ได้ลงทุนอย่างมากในด้านความเป็นส่วนตัวและความปลอดภัยของโซลูชันข้อมูลประจำตัวของผู้บริโภคและองค์กรและมุ่งเน้นไปที่การปรับปรุงการพิสูจน์ตัวตนที่แข็งแกร่งอย่างต่อเนื่องเซสชันการลงชื่อเข้าใช้ที่ปลอดภัยความปลอดภัยของ API และงานที่เกี่ยวข้องกับโครงสร้างพื้นฐานที่สำคัญดังกล่าว เขาให้ความเห็นว่า“ เราได้ลงทุนอย่างมากในการสร้างการใช้งานและการปรับปรุงข้อกำหนดเกี่ยวกับข้อมูลประจำตัวที่ส่งเสริมการตรวจสอบสิทธิ์ที่แข็งแกร่งการลงชื่อเข้าใช้งานเซสชันการรักษาความปลอดภัย API และงานโครงสร้างพื้นฐานที่สำคัญอื่น ๆ ในฐานะส่วนหนึ่งของชุมชนผู้เชี่ยวชาญด้านมาตรฐาน ภายในหน่วยงานมาตรฐานอย่างเป็นทางการเช่น IETF, W3C หรือ OpenID Foundation '
โปรแกรมนี้ได้รับการเปิดตัวเพื่อให้แน่ใจว่าเทคโนโลยีที่สำคัญนี้ยังคงปลอดภัยสำหรับผู้ใช้มากที่สุด มีโอกาสที่นักวิจัยด้านความปลอดภัยและข้อบกพร่องในการเปิดเผยช่องโหว่ในบริการระบุตัวตนแก่ Microsoft เป็นการส่วนตัว วิธีนี้จะช่วยให้ บริษัท สามารถแก้ไขปัญหาได้ก่อนที่จะเผยแพร่รายละเอียดทางเทคนิค
รายละเอียดการจ่ายเงิน
การจ่ายเงินรางวัลสำหรับโปรแกรมเงินรางวัลนี้จะอยู่ในช่วงตั้งแต่ $ 500 ถึง $ 100,000 ซึ่งขึ้นอยู่กับผลกระทบของข้อบกพร่องที่นักวิจัยพบ
การส่งคุณภาพสูง | การส่งคุณภาพพื้นฐาน | การส่งไม่สมบูรณ์ | |
บายพาสการรับรองความถูกต้องที่สำคัญ | สูงถึง $ 40,000 | สูงถึง $ 10,000 | จาก $ 1,000 |
Multi-factor Authentication Bypass | สูงถึง $ 100,000 | สูงถึง $ 50,000 | จาก $ 1,000 |
ช่องโหว่ในการออกแบบมาตรฐาน | สูงถึง $ 100,000 | สูงถึง $ 30,000 | จาก 2,500 เหรียญ |
ช่องโหว่ของการใช้งานตามมาตรฐาน | สูงถึง $ 75,000 | สูงถึง $ 25,000 | จาก 2,500 เหรียญ |
การเขียนสคริปต์ข้ามไซต์ (XSS) | สูงถึง $ 10,000 | สูงถึง $ 4,000 | จาก $ 1,000 |
การปลอมแปลงคำขอข้ามไซต์ (CSRF) | สูงถึง $ 20,000 | สูงถึง $ 5,000 | จาก $ 500 |
ข้อบกพร่องในการอนุญาต | สูงถึง $ 8,000 | สูงถึง $ 4,000 | จาก $ 500 |
เกณฑ์สำหรับการส่งที่มีสิทธิ์
การส่งช่องโหว่ที่ส่งไปยัง Microsoft จะต้อง ตรงตามเกณฑ์ที่กำหนด :
- ระบุช่องโหว่สำคัญหรือสำคัญที่เป็นต้นฉบับและไม่ได้รายงานก่อนหน้านี้ซึ่งเกิดซ้ำในบริการ Microsoft Identity ของเราที่ระบุไว้ภายในขอบเขต
- ระบุช่องโหว่เดิมและไม่ได้รับการรายงานก่อนหน้านี้ซึ่งส่งผลให้มีการเข้าครอบครองบัญชี Microsoft หรือบัญชี Azure Active Directory
- ระบุช่องโหว่ดั้งเดิมและที่ไม่ได้รับการรายงานก่อนหน้านี้ในมาตรฐาน OpenID ที่ระบุไว้หรือด้วยโปรโตคอลที่ใช้ในผลิตภัณฑ์บริการหรือไลบรารีที่ได้รับการรับรอง
- ส่งเทียบกับแอปพลิเคชัน Microsoft Authenticator ทุกเวอร์ชัน แต่จะได้รับรางวัลตอบแทนก็ต่อเมื่อข้อบกพร่องเกิดขึ้นซ้ำกับเวอร์ชันล่าสุดที่เผยแพร่ต่อสาธารณะ
- ใส่คำอธิบายของปัญหาและขั้นตอนการทำซ้ำอย่างกระชับที่เข้าใจง่าย (ซึ่งช่วยให้ประมวลผลการส่งได้เร็วที่สุดและรองรับการชำระเงินสูงสุดสำหรับประเภทของช่องโหว่ที่รายงาน)
- รวมผลกระทบของช่องโหว่
- รวมเวกเตอร์การโจมตีหากไม่ชัดเจน
- สำหรับแอปพลิเคชันมือถือการวิจัยช่องโหว่ต้องทำซ้ำในระบบปฏิบัติการและแอปมือถือเวอร์ชันล่าสุดและอัปเดต
นอกจากนี้ข้อบกพร่องที่ค้นพบจะต้องส่งผลกระทบต่อเครื่องมือต่อไปนี้:
- windows.net
- microsoftonline.com
- live.com
- live.com
- windowsazure.com
- activedirectory.windowsazure.com
- activedirectory.windowsazure.com
- office.com
- microsoftonline.com
- Microsoft Authenticator (แอปพลิเคชัน iOS และ Android) *
- OpenID Foundation - ตระกูล OpenID Connect
- OpenID Connect Core
- OpenID Connect Discovery
- OpenID Connect Session
- OAuth 2.0 การตอบสนองหลายประเภท
- ประเภทการตอบกลับหลังการใช้แบบฟอร์ม OAuth 2.0
โปรแกรมนี้มีเหตุผลเนื่องจากมีผู้ใช้ที่ลงทะเบียนหลายล้านคนทั่วโลก
สามารถดูรายละเอียดเพิ่มเติมเกี่ยวกับโปรแกรมรวมถึงเกณฑ์การชำระเงินวิธีการรักษาความปลอดภัยการวิจัยที่ต้องห้ามและเกณฑ์สำหรับการส่งที่ไม่มีสิทธิ์ ที่นี่ .
แท็ก ไมโครซอฟต์