Microsoft дава награда до 100 000 USD за открити бъгове в системи за автентикация

Между 100 USD и 250 000 USD – толкова са наградите за ловците на уязвимости, които плащат световните технологични гиганти

Microsoft обнови своята bug bounty програма (система, която предлага заплащане на потребители, които открият уязвимости в продуктите и услугите на компанията). Наградата, която софтуерният гигант е склонен да плати за открита пробойна в системите си за работа с лични данни, е до 100 000 USD – затова, запретвайте ръкави и започвайте да търсите.

Кои услуги обхваща новата програма?

От Microsoft коментират, че са инвестирали значителни средства в създаването, имплементирането и подобряването на системите на компанията, които работят с автентикацията и личните данни на потребителите на услугите ѝ. Целта – да се въведат мерки като сигурни средства за автентикация и логин, сигурност на API-тата на компанията и свеждане до минимум на рисковете от инфраструктурна гледна точка.

Новата Microsoft Identity Bounty Program засяга Microsoft Account и Azure Active Directory, както и някои имплементации на OpenID (пълен списък – тук). Наградите, които обещава компанията, са между 500 и 100,00 USD – в зависимост от сериозността на откритата уязвимост.

Критерии за участие?

За да кандидатствате, трябва да отговаряте на следните критерии:

  • Откриете уникален и незасичан критичен или важен недостатък в услугите на Microsoft за автентикация
  • Откриете уникален и незасичан недостатък, който води до възможност за кражба на профил в Microsoft или в Azure Active Directory.
  • Откриете уникален и незасичан недостатък в изброените OpenID стандарти
  • Може да изпращате уязвимости за всяка версия на приложението Microsoft Authenticator, но възнаграждения се заплащат само, ако уязвимостта засяга най-новата му достъпна публична версия.
  • Включите описание на проблема, който сте открилии кратки стъпки за възпроизвеждането му, които лесно се разбират
  • Уточните какво точно е въздействието на уязвимостта върху засегнатата система
  • Опишете вектор на атака, ако не е очевиден.

Уязвимостта трябва да засяга и някой от следните инструменти за автентикация:

  • windows.net
  • microsoftonline.com
  • live.com
  • live.com
  • windowsazure.com
  • activedirectory.windowsazure.com
  • activedirectory.windowsazure.com
  • office.com
  • microsoftonline.com
  • Microsoft Authenticator за iOS и Android

Кой друг дава награди?

Или по-точно – кой не дава. Най-високо за момента официално плащат от Microsoft (максималната награда по другите  bug bounty програми на компанията стига до 200 000 USD). А Facebook дори не са сложили ограничение за максималната награда…

Ето част от другите по-известни технологични гиганти и наградите от тях:

  • Intel: между 500 и 30 000 USD (колко ли е платено на откривателите на Spectre и Meltdown?)
  • Yahoo: до 15 000 USD
  • Snapchat: между 2 000 и 15 000 USD
  • Cisco: между 100 и 2 500 USD
  • Dropbox: между 12 167 и 32 768 USD
  • Apple: до 200 000 USD
  • Facebook: от 500 USD, без ограничение в максималния праг
  • Google: между 300 и 31 337 USD
  • Mozilla: между 500 и 5 000 USD
  • Twitter: между 140 и 15 000 USD
  • PayPal: между 50 и 10 000 USD
  • Uber: до 10 000 USD
  • LinkedIn: не са оповестили нито минимум, нито максимум

Какво чакате още, търсете!

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook.

Тагове
Покажи още

Христо Ласков

С над 15 години опит - 7 от които като журналист - технологиите са огромна част от живота ми. Колкото повече следя темата, толкова повече се убеждавам, че сигурността на информацията е в основата на който и да било и продукт или услуга. Затова отделям значителна част от времето си, за да развивам freedomonline.bg - българският сайт за IT сигурност.

Вашият коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *

Свързани материали

Close