Microsoft paga até US$ 100 mil como recompensa para quem encontrar bugs

A Microsoft anunciou o lançamento de um programa de recompensas de bugs especificamente voltado para serviços de identidade. Os pagamentos de recompensas variam de US$ 500 a US$ 100 mil.

O programa Identity Bounty premiará os pesquisadores por encontrarem falhas qualificadas não apenas em suas soluções de identidade, mas também em vulnerabilidades de segurança em “implementações certificadas de padrões selecionados do OpenID”.

Phillip Misner, gerente principal do grupo de segurança da Microsoft, anunciou o novo programa no blog do Microsoft Security Response Center (MSRC). “A segurança moderna depende da comunicação colaborativa de identidades e dados de identidade entre domínios. A identidade digital de um cliente é geralmente a chave para acessar serviços e interagir pela Internet. A Microsoft investiu pesado na segurança e privacidade de nossas soluções de identidade de consumidor e corporativa. Investimos fortemente na criação, implementação e aprimoramento de especificações relacionadas à identidade que promovem autenticação forte, assinatura segura, sessões, segurança da API e outras tarefas críticas de infraestrutura. Em reconhecimento a esse forte compromisso com a segurança de nossos clientes, estamos lançando o Microsoft Identity Bounty Program”, disse.

Para que a descoberta de vulnerabilidade seja elegível para um pagamento, são necessários alguns critérios:

– Identificar uma vulnerabilidade crítica ou importante, original e anteriormente não relatada, que se reproduza em serviços do Microsoft Identity listados no escopo.

– Identificar uma vulnerabilidade original e não relatada anteriormente que resulte no roubo de uma Conta da Microsoft ou uma conta do Azure Active Directory.

– Identificar uma vulnerabilidade original e não declarada anteriormente nos padrões OpenID listados ou com o protocolo implementado nos produtos, serviços ou bibliotecas certificados.

– Os envios podem ser feitos contra qualquer versão do aplicativo Microsoft Authenticator, mas prêmios de recompensa só serão pagos se o bug acontecer na última versão disponível publicamente.

– Incluir uma descrição do problema e etapas de reprodutibilidade que sejam facilmente entendidas, para que os documentos sejam processados ​​o mais rápido possível e o pagamento seja justo de acordo o tipo de vulnerabilidade relatado.

– Incluir o impacto da vulnerabilidade.

– Incluir um vetor de ataque se não for óbvio.

O escopo dos bugs que afetam os serviços de identidade da Microsoft devem ser listados de acordo com o que eles impactam:

– windows.net

– microsoftonline.com

– live.com

– live.com

– windowsazure.com

– activedirectory.windowsazure.com

– activedirectory.windowsazure.com

– office.com

– microsoftonline.com

– Microsoft Authenticator (aplicativos iOS e Android) – Para aplicativos móveis, a pesquisa deve ser reproduzida na versão mais recente do aplicativo e no sistema operacional móvel

Para bugs de ID em produtos que não são da Microsoft, o escopo é:

– OpenID Foundation – The OpenID Connect Family

– OpenID Connect Core

– OpenID Connect Discovery

– OpenID Connect Session

– OAuth 2.0 Multiple Response Types

– OAuth 2.0 Form Post Response Types

– Produtos e serviços da Microsoft com implementações certificadas sob certificação OpenID

Pagamento

Existem oito tipos de erros que podem ser reportados, sendo os de alta qualidade os que valem mais.

“Um relatório de alta qualidade fornece as informações necessárias para que um engenheiro possa reproduzir, entender e corrigir rapidamente o problema. Isso normalmente inclui uma redação concisa contendo todas as informações necessárias, uma descrição do bug e uma prova de conceito. Reconhecemos que algumas questões são extremamente difíceis de reproduzir e entender, e isso será considerado ao julgar a qualidade de uma apresentação ”, explicou a empresa.

Um relatório de bug de alta qualidade pode resultar em até US$ 100 mil, um envio de qualidade de linha de base pode chegar a US$ 50mil e um envio incompleto é listado a partir de US $ 1 mil.

As vulnerabilidades de design padrão têm o seu teto em US$ 100 mil para envios de alta qualidade, até US$ 30 mil para qualidade de linha de base e de US$ 2,5 mil para envios incompletos.

Em seguida, as vulnerabilidades de implementação baseadas em padrões podem pagar até US$ 75 mil, US$ 25 mil para qualidade de referência e  US$ 2,5 mil para relatórios incompletos.

Os outros cinco tipos de erros que podem ser reportados (em ordem de como uma vulnerabilidade de alta qualidade seria paga) são: bypass significativo de autenticação, falsificação de solicitação entre sites (CSRF), cross-site scripting (XSS), falha de autorização e sensível exposição de dados.

>Siga a Computerworld Brasil também nas redes sociais: Twitter, Facebook, Instagram e LinkedIn