Microsoft готова заплатить $100 тыс. за уязвимости в сервисах идентификации
Программа распространяется на сервисы Azure Active Directory и Microsoft Account.
Компания Microsoft запустила новую программу вознаграждения за найденные уязвимости, предусматривающую выплаты от $500 до $100 тыс. за проблемы в различных сервисах идентификации компании. Программа распространяется на сервисы Azure Active Directory и Microsoft Account («Учетная запись Microsoft»), реализации стандартов OpenID и OAuth 2.0, а также версии приложения Microsoft Authenticator для iOS и Android. Список доменов: login.windows.net, login.microsoftonline.com, login.live.com, account.live.com, account.windowsazure.com, account.activedirectory.windowsazure.com, credential.activedirectory.windowsazure.com, portal.office.com и passwordreset.microsoftonline.com.
Максимальную награду исследователи могут получить за качественный отчет с описанием методов обхода многофакторной аутентификации или уязвимостей в протоколах авторизации, используемых Microsoft. За уязвимости в реализациях OpenID и Oauth предусмотрено вознаграждение в размере до $75 тыс.
За информацию о XSS-уязвимостях исследователи могут заработать до $10 тыс., проблемы с авторизацией и ошибки, позволяющие утечку конфиденциальной информации, оцениваются в $8 тыс. и $5 тыс. соответственно.
В настоящее время Microsoft поддерживает несколько программ bug bounty. В частности, в марте техногигант запустил программу, ориентированную на проблемы спекулятивного выполнения комманд, такие как Meltdown и Spectre. Максимальное вознаграждение составляет $250 тыс., срок действия программы — до 31 декабря 2018 года.
