Microsoft дава награда до 100 000 USD за открити бъгове в системи за автентикация
Между 100 USD и 250 000 USD – толкова са наградите за ловците на уязвимости, които плащат световните технологични гиганти
Microsoft обнови своята bug bounty програма (система, която предлага заплащане на потребители, които открият уязвимости в продуктите и услугите на компанията). Наградата, която софтуерният гигант е склонен да плати за открита пробойна в системите си за работа с лични данни, е до 100 000 USD – затова, запретвайте ръкави и започвайте да търсите.
Кои услуги обхваща новата програма?
От Microsoft коментират, че са инвестирали значителни средства в създаването, имплементирането и подобряването на системите на компанията, които работят с автентикацията и личните данни на потребителите на услугите ѝ. Целта – да се въведат мерки като сигурни средства за автентикация и логин, сигурност на API-тата на компанията и свеждане до минимум на рисковете от инфраструктурна гледна точка.
Новата Microsoft Identity Bounty Program засяга Microsoft Account и Azure Active Directory, както и някои имплементации на OpenID (пълен списък – тук). Наградите, които обещава компанията, са между 500 и 100,00 USD – в зависимост от сериозността на откритата уязвимост.
Критерии за участие?
За да кандидатствате, трябва да отговаряте на следните критерии:
- Откриете уникален и незасичан критичен или важен недостатък в услугите на Microsoft за автентикация
- Откриете уникален и незасичан недостатък, който води до възможност за кражба на профил в Microsoft или в Azure Active Directory.
- Откриете уникален и незасичан недостатък в изброените OpenID стандарти
- Може да изпращате уязвимости за всяка версия на приложението Microsoft Authenticator, но възнаграждения се заплащат само, ако уязвимостта засяга най-новата му достъпна публична версия.
- Включите описание на проблема, който сте открилии кратки стъпки за възпроизвеждането му, които лесно се разбират
- Уточните какво точно е въздействието на уязвимостта върху засегнатата система
- Опишете вектор на атака, ако не е очевиден.
Уязвимостта трябва да засяга и някой от следните инструменти за автентикация:
- windows.net
- microsoftonline.com
- live.com
- live.com
- windowsazure.com
- activedirectory.windowsazure.com
- activedirectory.windowsazure.com
- office.com
- microsoftonline.com
- Microsoft Authenticator за iOS и Android
Кой друг дава награди?
Или по-точно – кой не дава. Най-високо за момента официално плащат от Microsoft (максималната награда по другите bug bounty програми на компанията стига до 200 000 USD). А Facebook дори не са сложили ограничение за максималната награда…
Ето част от другите по-известни технологични гиганти и наградите от тях:
- Intel: между 500 и 30 000 USD (колко ли е платено на откривателите на Spectre и Meltdown?)
- Yahoo: до 15 000 USD
- Snapchat: между 2 000 и 15 000 USD
- Cisco: между 100 и 2 500 USD
- Dropbox: между 12 167 и 32 768 USD
- Apple: до 200 000 USD
- Facebook: от 500 USD, без ограничение в максималния праг
- Google: между 300 и 31 337 USD
- Mozilla: между 500 и 5 000 USD
- Twitter: между 140 и 15 000 USD
- PayPal: между 50 и 10 000 USD
- Uber: до 10 000 USD
- LinkedIn: не са оповестили нито минимум, нито максимум
Какво чакате още, търсете!