Microsoft oferece até US$ 100 mil para quem encontrar bugs em seus serviços de identidade

Com o nome de “Microsoft Identity Bounty Program”, a empresa anunciou o lançamento desse programa que convida pesquisadores e caçadores de ameaças a participar do desafio de encontrar bugs em seus "serviços de identidade" em troca de uma recompensa que, dependendo do impacto da vulnerabilidade encontrada, pode chegar a US$ 100 mil.

Segundo explica a Microsoft em seu site oficial, em um contexto no qual vivemos hoje, em que as comunicações colaborativas requerem permanentemente a utilização de sistemas de identificação e o uso de dados para identificar e ter acesso a diferentes domínios, a identidade digital de um usuário na Internet é a chave para acessar e interagir com quase tudo.

Alegando ter feito um grande investimento em melhorias ligadas à segurança da identidade e, como parte desse compromisso e desejo de continuar oferecendo maior segurança aos clientes, a empresa lança esse novo programa de recompensas.

Inscrições para o Microsoft Identity Bounty Program

O objetivo do programa é premiar os trabalhos que sejam um reflexo fiel da pesquisa por trás da vulnerabilidade detectada. Nesse sentido, a expectativa por parte da Microsoft é que os pesquisadores inscritos possam compartilhar seus conhecimentos com engenheiros e desenvolvedores da Microsoft e que estes últimos possam entender e reproduzir rapidamente a descoberta do participante.

A apresentação de vulnerabilidades deve atender aos seguintes critérios:

• Identificar uma vulnerabilidade crítica ou importante, original e anteriormente não relatada, que se reproduza em nossos serviços do Microsoft Identity listados no escopo;
• Identificar uma vulnerabilidade original e não relatada anteriormente que resulte na aquisição de uma Conta da Microsoft ou uma conta do Azure Active Directory;
• Identificar uma vulnerabilidade original e não declarada anteriormente nos padrões OpenID listados ou com o protocolo implementado em nossos produtos, serviços ou bibliotecas certificados;
• Enviar erros sobre qualquer versão do aplicativo Microsoft Authenticator, mas as recompensas só serão pagas se o bug for relacionado à última versão disponível publicamente;
• Incluir uma descrição do problema e etapas de reprodutibilidade concisas que sejam facilmente compreendidas;
• Incluir o impacto da vulnerabilidade;
• Incluir um vetor de ataque se não for óbvio.

Escopo

• windows.net
• microsoftonline.com
• live.com
• live.com
• windowsazure.com
• activedirectory.windowsazure.com
• activedirectory.windowsazure.com
• office.com
• microsoftonline.com
• Microsoft Authenticator (iOS e aplicativos Android) 

Como mencionamos no início do artigo, os pagamentos mais altos serão concedidos dependendo da qualidade do relatório apresentado e do impacto da vulnerabilidade encontrada. Por outro lado, pagamentos menores geralmente são concedidos para vulnerabilidades que exigem muita interação por parte do usuário.

Para obter mais informações, visite a página oficial do Microsoft Identity Bounty Program.