Microsoft ofrece una recompensa de hasta 100,000 dólares para encontrar errores en sus servicios de identidad

Microsoft lanzó hoy un nuevo programa de recompensas de errores para las personas que buscan fallos e investigadores que encuentran vulnerabilidades de seguridad en sus "servicios de identidad".

"Si usted es un investigador de seguridad y ha descubierto una vulnerabilidad de seguridad en los servicios de Identidad, apreciamos su ayuda para divulgarlo en privado y darnos la oportunidad de solucionarlo antes de publicar los detalles técnicos", escribió Phillip Misner, Director del Grupo de Seguridad.

El gigante de la tecnología actualmente ejecuta varios programas de bonificación de errores que ofrecen cientos de miles de dólares para un solo informe de vulnerabilidad. Esto incluye el programa de ejecución especulativa de canal lateral, que ofrece hasta 250,000 dólares y que la compañía lanzó tras la divulgación de Meltdown y Spectre; el programa Hyper-V, que también ofrece hasta 250,000 dólares; la recompensa de mitigación "bypass bounty", con recompensas de hasta 100,000 dólares por nuevas técnicas de explotación contra las protecciones de Windows; y Bounty for Defense, que ofrece 100,000 dólares adicionales para las defensas de las técnicas de desvío de mitigación.

Programa Microsoft Identity Bounty

Si desea participar en el programa Microsoft Identity Bounty, deberá presentar envíos de alta calidad que reflejen la investigación que realiza en sus hallazgos, y compartir sus conocimientos y experiencia con los desarrolladores e ingenieros de Microsoft, para que puedan rápidamente reproducir, comprender y solucionar el problema.

Para ser elegible para los pagos de Microsoft, deberá cumplir con los siguientes criterios:

  • Identifique una vulnerabilidad crítica o importante original y no reportada previamente que se reproduce en los servicios de Microsoft.
  • Identifique una vulnerabilidad original y no reportada previamente que resulte en la toma de control de una cuenta de Microsoft o una cuenta de Azure Active Directory.
  • Identifique una vulnerabilidad original y no reportada previamente en los estándares OpenID listados o con el protocolo implementado en los productos, servicios o bibliotecas certificados de Microsoft.
  • Envíelo contra cualquier versión de la aplicación Microsoft Authenticator, pero las recompensas por recompensa solo se pagarán si la vulnerabilidad se reproduce en comparación con la versión más reciente disponible públicamente.
  • Incluya una descripción del problema que encontró y pasos concisos de reproducibilidad que sean fáciles de entender. (Esto permite que las presentaciones se procesen rápidamente y admite el pago más alto para el tipo de vulnerabilidad que se informa).
  • Incluya el impacto de la vulnerabilidad.
  • Incluye un vector de ataque si no es obvio.

Además, la vulnerabilidad debe afectar a una de las siguientes herramientas de inicio de sesión:

  • login.windows.net
  • login.microsoftonline.com
  • login.live.com
  • account.live.com
  • account.windowsazure.com
  • account.activedirectory.windowsazure.com
  • credential.activedirectory.windowsazure.com
  • portal.office.com
  • passwordreset.microsoftonline.com
  • Microsoft Authenticator para aplicaciones iOS y Android

Se otorgan pagos más altos a los investigadores en función de la calidad de su informe y del impacto de seguridad de la vulnerabilidad que encontraron.

Generalmente, se otorgan cantidades más bajas para las vulnerabilidades que requieren una interacción significativa del usuario.

Fuente: Blog Microsoft