Sa Martes Hulyo 17ika, Inanunsyo ito ng Microsoft Programang Bounty ng pagkakakilanlan na naglalagay ng premium na gantimpala para sa mga mananaliksik ng bug at mangangaso na natuklasan ang anumang mga kahinaan na nauugnay sa seguridad sa mga serbisyo sa pagkakakilanlan nito.
Ayon kay Phillip Misner , Principal Security Group Manager ng Microsoft Security Response Center, ang Microsoft ay namuhunan nang malaki sa privacy at seguridad ng mga solusyon sa pagkakakilanlan ng consumer at enterprise at nakatuon sa patuloy na pagpapabuti ng malakas na pagpapatotoo, ligtas na pag-sign in sa mga session, seguridad ng API at tulad ng mga kritikal na gawain na nauugnay sa imprastraktura. Nagkomento siya, 'Masidhi kaming namuhunan sa paglikha, pagpapatupad, at pagpapabuti ng mga pagtutukoy na nauugnay sa pagkakakilanlan na nagtaguyod ng malakas na pagpapatotoo, ligtas na pag-sign in, mga sesyon, seguridad ng API, at iba pang mga kritikal na gawain sa imprastraktura, bilang bahagi ng pamayanan ng mga eksperto sa pamantayan sa loob ng mga opisyal na pamantayang pamantayan tulad ng IETF, W3C, o ang OpenID Foundation. ”
Ang program na ito ay inilunsad upang matiyak na ang kritikal na teknolohiya na ito ay mananatiling bilang ligtas hangga't maaari para sa mga gumagamit. Nag-aalok ito ng mga mananaliksik ng bug at seguridad ng pagkakataong ibunyag ang mga kahinaan sa mga serbisyo sa pagkakakilanlan sa Microsoft nang pribado. Papayagan nitong malutas ng kumpanya ang problema bago ilathala ang mga teknikal na detalye.
Magbayad ng Mga Detalye
Ang mga pagbabayad para sa programang ito ng bounty ay mula sa $ 500 hanggang $ 100,000 na depende sa epekto ng bug na natagpuan ng mga mananaliksik.
Mataas na Kalidad na Pagsumite | Pagsusumite ng Marka ng Baseline | Hindi Kumpletong Pagsumite | |
Makabuluhang Bypass ng Pagpapatotoo | Hanggang sa $ 40,000 | Hanggang sa $ 10,000 | Mula sa $ 1,000 |
Multi-factor Authentication Bypass | Hanggang sa $ 100,000 | Hanggang sa $ 50,000 | Mula sa $ 1,000 |
Mga kahinaan sa disenyo ng pamantayan | Hanggang sa $ 100,000 | Hanggang sa $ 30,000 | Mula sa $ 2,500 |
Mga kahinaan sa pagpapatupad na nakabatay sa pamantayan | Hanggang sa $ 75,000 | Hanggang sa $ 25,000 | Mula sa $ 2,500 |
Cross-Site Scripting (XSS) | Hanggang sa $ 10,000 | Hanggang sa $ 4,000 | Mula sa $ 1,000 |
Pagpatawad sa Kahilingan sa Cross-Site (CSRF) | Hanggang sa $ 20,000 | Hanggang sa $ 5,000 | Mula sa $ 500 |
Batas sa Pahintulot | Hanggang sa $ 8,000 | Hanggang sa $ 4,000 | Mula sa $ 500 |
Mga Pamantayan para sa isang Karapat-dapat na Pagsumite
Dapat ang mga pagsusumite ng kahinaan na ipinadala sa Microsoft matugunan ang ibinigay na pamantayan :
- Tukuyin ang isang orihinal at dati ay hindi naiulat na kritikal o mahalagang kahinaan na nagpaparami sa aming mga serbisyo sa Microsoft Identity na nakalista sa loob ng saklaw.
- Tukuyin ang isang orihinal at dati nang hindi naiulat na kahinaan na nagreresulta sa pagkuha ng isang Microsoft Account o Azure Aktibong Directory Account.
- Tukuyin ang isang orihinal at dati nang hindi naiulat na kahinaan sa nakalistang mga pamantayan ng OpenID o sa ipinatupad na protokol sa aming mga sertipikadong produkto, serbisyo, o aklatan.
- Magsumite laban sa anumang bersyon ng aplikasyon ng Microsoft Authenticator, ngunit mabibigyan lamang ang mga gantimpala na bigay kung nag-reproduces ang bug laban sa pinakabagong, magagamit na publiko na bersyon.
- Magsama ng isang paglalarawan ng isyu at maikli na mga hakbang sa muling pagsasama na madaling maunawaan. (Pinapayagan nitong maproseso ang mga pagsumite nang mabilis hangga't maaari at sinusuportahan ang pinakamataas na pagbabayad para sa uri ng kahinaan na iniulat.)
- Isama ang epekto ng kahinaan
- Magsama ng isang vector ng pag-atake kung hindi halata
- Para sa mga mobile application, ang pananaliksik sa kahinaan ay dapat kopyahin sa pinakabagong at na-update na bersyon ng mobile OS at app.
Gayundin, ang natuklasan na bug ay dapat na makaapekto sa anuman sa mga sumusunod na tool:
- windows.net
- microsoftonline.com
- live.com
- live.com
- windowsazure.com
- aktibong direktoryo.windowsazure.com
- aktibong direktoryo.windowsazure.com
- tanggapan.com
- microsoftonline.com
- Microsoft Authenticator (mga aplikasyon ng iOS at Android) *
- OpenID Foundation - Ang OpenID Connect Family
- OpenID Connect Core
- OpenID Connect Discovery
- OpenID Connect Session
- OAuth 2.0 Maramihang Mga Uri ng Tugon
- Mga Uri ng Tugon sa Pag-post ng OAuth 2.0
Ang programa ay may katuturan, dahil mayroon itong milyun-milyong mga nakarehistrong gumagamit sa buong mundo.
Higit pang mga detalye sa programa kabilang ang pamantayan sa pagbabayad, ipinagbabawal na mga pamamaraan ng seguridad sa pananaliksik at pamantayan para sa hindi karapat-dapat na mga pagsusumite ay maaaring makuha dito .
Mga tag Microsoft