Microsoft готова заплатити $100 тис. за знайдені вразливості у сервісах ідентифікації
Microsoft готова заплатити $100 тис. за знайдені вразливості у сервісах ідентифікації
Програма поширюється на сервіси Azure Active Directory та Microsoft Account.
Компанія Microsoft запустила нову програму винагороди за знайдені вразливості, яка передбачає виплати від $500 до $100 тис. за проблеми у різних сервісах ідентифікації компанії.
Програма поширюється на сервіси Azure Active Directory та Microsoft Account («Обліковий запис Microsoft»), реалізації стандартів OpenID та OAuth 2.0, а також версії програми Microsoft Authenticator для iOS та Android. Список доменів: login.windows.net, login.microsoftonline.com, login.live.com, account.live.com, account.windowsazure.com, account.activedirectory.windowsazure.com, credential.activedirectory.windowsazure.com, portal .office.com та passwordreset.microsoftonline.com.
Максимальну нагороду дослідники можуть отримати за якісний звіт з описом методів обходу багатофакторної автентифікації або вразливостей у протоколах авторизації, які використовуються Microsoft. За вразливість у реалізаціях OpenID та Oauth передбачена винагорода у розмірі до $75 тис.
За інформацію про XSS-уразливості дослідники можуть заробити до $10 тис., проблеми з авторизацією та помилки, що дозволяють витік конфіденційної інформації, оцінюються у $8 тис. та $5 тис. відповідно.
В даний час Microsoft підтримує декілька програм bug bounty. Зокрема, у березні техногігант запустив програму, орієнтовану на проблеми спекулятивного виконання команд, такі як Meltdown та Spectre. Максимальна винагорода становить $250 тис., термін дії програми – до 31 грудня 2018 року. року.