Microsoft lanza el programa Identity Bounty
Microsoft lanza el programa Identity Bounty que ofrece a cazadores de recompensas de errores hasta 100000 dolares
Para los investigadores de seguridad que descubren una vulnerabilidad de seguridad en los servicios de Identidad, pagarían entre $ 500 y $ 100000.
Un programa de bonificación de errores también conocido como programa de recompensas de vulnerabilidad (VRP) es aquel en el que los investigadores de seguridad pueden revelar vulnerabilidades y pueden recibir reconocimiento y compensación por informar de errores. El programa Bug Bounty es adecuado para organizaciones de todos los tamaños; es parte del plan de prueba de penetración de la organización.
Microsoft dijo que hemos invertido mucho en la seguridad y la privacidad de nuestras soluciones de identidad para consumidores y empresas. Para los investigadores de seguridad que encuentran que la vulnerabilidad en los servicios de Identidad puede informar a Microsoft de forma privada.
"Las presentaciones para el protocolo de estándares o recompensas de implementación deben estar con un estándar de identidad completamente ratificado en el alcance de esta recompensa y han descubierto una vulnerabilidad de seguridad con el protocolo implementado en nuestros productos, servicios o bibliotecas certificados".
Alcance Dominios
- login.windows.net
- login.microsoftonline.com
- login.live.com
- account.live.com
- account.windowsazure.com
- account.activedirectory.windowsazure.com
- credential.activedirectory.windowsazure.com
- portal.office.com
- passwordreset.microsoftonline.com
- Microsoft Autenticador (aplicaciones iOS y Android) *
Presentación elegible programa Identity Bounty
- Identifique una vulnerabilidad crítica o importante original y no denunciada que se reproduce en nuestros servicios de identidad de Microsoft que se enumeran dentro del alcance.
- Identifique una vulnerabilidad original y no reportada anteriormente que resulte en la toma de control de una cuenta de Microsoft o una cuenta de Azure Active Directory.
- Identifique una vulnerabilidad original y no reportada previamente en los estándares OpenID listados o con el protocolo implementado en nuestros productos, servicios o bibliotecas certificados.
- Envíelo contra cualquier versión de la aplicación Microsoft Authenticator, pero los premios de recompensa solo se pagarán si el error se reproduce en comparación con la versión más reciente disponible para el público.
- Incluya una descripción del problema y pasos concisos de reproducibilidad que sean fáciles de entender. (Esto permite que las presentaciones se procesen lo más rápido posible y admite el pago más alto para el tipo de vulnerabilidad que se informa).
- Incluya el impacto de la vulnerabilidad.
- Incluye un vector de ataque si no es obvio.
Una información de fondo del informe de alta calidad, una descripción del error y una prueba de concepto recibirían recompensas de hasta $ 100,000, los envíos de calidad iniciales recibirían recompensas de hasta $ 50,000 y para los envíos incompletos, la recompensa comienza desde $ 500.