Microsoft oferece até US$ 100 mil para quem encontrar bugs em seus serviços de identidade

Microsoft oferece até US$ 100 mil para quem encontrar bugs em seus serviços de identidade

A Microsoft anunciou o lançamento de um novo programa Bug Bounty e oferece recompensas que variam de US$ 500 a US$ 100 mil para quem conseguir encontrar vulnerabilidades em seu "serviço de identidade".

A Microsoft anunciou o lançamento de um novo programa Bug Bounty e oferece recompensas que variam de US$ 500 a US$ 100 mil para quem conseguir encontrar vulnerabilidades em seu “serviço de identidade”.

Com o nome de “Microsoft Identity Bounty Program”, a empresa anunciou o lançamento desse programa que convida pesquisadores e caçadores de ameaças a participar do desafio de encontrar bugs em seus “serviços de identidade” em troca de uma recompensa que, dependendo do impacto da vulnerabilidade encontrada, pode chegar a US$ 100 mil.

Segundo explica a Microsoft em seu site oficial, em um contexto no qual vivemos hoje, em que as comunicações colaborativas requerem permanentemente a utilização de sistemas de identificação e o uso de dados para identificar e ter acesso a diferentes domínios, a identidade digital de um usuário na Internet é a chave para acessar e interagir com quase tudo.

Alegando ter feito um grande investimento em melhorias ligadas à segurança da identidade e, como parte desse compromisso e desejo de continuar oferecendo maior segurança aos clientes, a empresa lança esse novo programa de recompensas.

Inscrições para o Microsoft Identity Bounty Program

O objetivo do programa é premiar os trabalhos que sejam um reflexo fiel da pesquisa por trás da vulnerabilidade detectada. Nesse sentido, a expectativa por parte da Microsoft é que os pesquisadores inscritos possam compartilhar seus conhecimentos com engenheiros e desenvolvedores da Microsoft e que estes últimos possam entender e reproduzir rapidamente a descoberta do participante.

A apresentação de vulnerabilidades deve atender aos seguintes critérios:

  • Identificar uma vulnerabilidade crítica ou importante, original e anteriormente não relatada, que se reproduza em nossos serviços do Microsoft Identity listados no escopo;
  • Identificar uma vulnerabilidade original e não relatada anteriormente que resulte na aquisição de uma Conta da Microsoft ou uma conta do Azure Active Directory;
  • Identificar uma vulnerabilidade original e não declarada anteriormente nos padrões OpenID listados ou com o protocolo implementado em nossos produtos, serviços ou bibliotecas certificados;
  • Enviar erros sobre qualquer versão do aplicativo Microsoft Authenticator, mas as recompensas só serão pagas se o bug for relacionado à última versão disponível publicamente;
  • Incluir uma descrição do problema e etapas de reprodutibilidade concisas que sejam facilmente compreendidas;
  • Incluir o impacto da vulnerabilidade;
  • Incluir um vetor de ataque se não for óbvio.

Escopo

  • windows.net
  • microsoftonline.com
  • live.com
  • live.com
  • windowsazure.com
  • activedirectory.windowsazure.com
  • activedirectory.windowsazure.com
  • office.com
  • microsoftonline.com
  • Microsoft Authenticator (iOS e aplicativos Android) 

Como mencionamos no início do artigo, os pagamentos mais altos serão concedidos dependendo da qualidade do relatório apresentado e do impacto da vulnerabilidade encontrada. Por outro lado, pagamentos menores geralmente são concedidos para vulnerabilidades que exigem muita interação por parte do usuário.

Para obter mais informações, visite a página oficial do Microsoft Identity Bounty Program.

Discussão