Microsoft Mengumumkan ‘Identity Bounty Programme’ kerana Menemui Kerentanan Berat dalam Perkhidmatan Identitynya

Pada hari Selasa 17 Julai^ika, Microsoft mengumumkannya Program Identity Bounty yang memberikan ganjaran premium untuk penyelidik bug dan pemburu yang menemui kelemahan berkaitan keselamatan dalam perkhidmatan identitinya.

Menurut Phillip Misner , Pengurus Kumpulan Keselamatan Utama Pusat Tindak Balas Keselamatan Microsoft, Microsoft telah banyak melabur dalam privasi dan keselamatan penyelesaian identiti pengguna dan perusahaannya dan telah menumpukan pada peningkatan berterusan pengesahan yang kuat, sesi masuk yang selamat, keselamatan API dan tugas-tugas penting yang berkaitan dengan infrastruktur. Dia berkomentar, 'Kami telah berinvestasi dalam pembuatan, pelaksanaan, dan peningkatan spesifikasi yang berkaitan dengan identiti yang mendorong pengesahan yang kuat, masuk yang selamat, sesi, keselamatan API, dan tugas infrastruktur penting lainnya, sebagai bagian dari komuniti pakar standard dalam badan standard rasmi seperti IETF, W3C, atau OpenID Foundation. '

Program ini telah dilancarkan untuk memastikan bahawa teknologi kritikal ini seaman mungkin untuk pengguna. Ini memberi peluang kepada penyelidik bug dan keselamatan untuk mendedahkan kelemahan dalam perkhidmatan identiti kepada Microsoft secara peribadi. Ini akan membolehkan syarikat menyelesaikan masalah sebelum menerbitkan butiran teknikalnya.

Bayar Butiran

Bayaran untuk program karunia ini akan berkisar antara $ 500 hingga $ 100,000 yang bergantung kepada kesan bug yang telah dijumpai oleh penyelidik.

Kriteria untuk Penyerahan Yang Layak

Penyerahan kerentanan yang dihantar ke Microsoft mesti memenuhi kriteria yang diberikan :

• Kenal pasti kerentanan kritikal atau penting yang asli dan yang sebelumnya tidak dilaporkan yang dihasilkan semula dalam perkhidmatan Microsoft Identity kami yang disenaraikan dalam skop.
• Kenal pasti kerentanan asli dan yang sebelumnya tidak dilaporkan yang mengakibatkan pengambilalihan Akaun Microsoft atau Akaun Direktori Aktif Azure.
• Kenal pasti kerentanan yang asli dan yang sebelumnya tidak dilaporkan dalam standard OpenID yang disenaraikan atau dengan protokol yang dilaksanakan dalam produk, perkhidmatan, atau perpustakaan kami yang disahkan.
• Kirimkan terhadap versi aplikasi Microsoft Authenticator, tetapi penghargaan karunia hanya akan dibayar jika pepijat itu muncul semula berbanding versi terbaru yang tersedia untuk umum.
• Sertakan penerangan mengenai masalah dan langkah-langkah kebolehulangan yang ringkas yang mudah difahami. (Ini memungkinkan pengiriman diproses secepat mungkin dan menyokong pembayaran tertinggi untuk jenis kerentanan yang dilaporkan.)
• Sertakan kesan kerentanan
• Sertakan vektor serangan jika tidak jelas
• Untuk aplikasi mudah alih, penyelidikan kerentanan mesti dibuat semula pada versi terkini dan kemas kini OS dan aplikasi mudah alih.

Juga, bug yang dijumpai mesti mempengaruhi salah satu alat berikut:

• windows.net
• microsoftonline.com
• secara langsung.com
• secara langsung.com
• windowsazure.com
• activedirectory.windowsazure.com
• activedirectory.windowsazure.com
• pejabat.com
• microsoftonline.com
• Microsoft Authenticator (aplikasi iOS dan Android) *
• OpenID Foundation - Keluarga OpenID Connect
  • Teras Sambungan OpenID
  • Penemuan OpenID Connect
  • Sesi Sambungan OpenID
  • Jenis Respons Pelbagai OAuth 2.0
  • Jenis Respons Pasca Borang OAuth 2.0

Program ini masuk akal, memandangkan ia mempunyai berjuta-juta pengguna berdaftar di seluruh dunia.

Maklumat lebih lanjut mengenai program ini termasuk kriteria pembayaran, kaedah keselamatan penyelidikan yang dilarang dan kriteria untuk penyerahan yang tidak memenuhi syarat dapat diperoleh di sini .