Bajo el nombre de “Microsoft Identity Bounty Program”, el gigante informático anunció el lanzamiento de este programa a través del cual invita a investigadores y cazadores de amenazas para que participen de este desafío de encontrar vulnerabilidades en su “servicios de identidad” a cambio de una recompensa económica que, dependiendo del impacto de la vulnerabilidad encontrada, puede llegar a ser de hasta 100.000 dólares.

Según explica Microsoft en su sitio oficial, en un contexto como en el que vivimos actualmente donde las comunicaciones colaborativas requieren permanentemente del uso de sistemas de identificación y el uso de datos para identificarse y lograr acceder a diferentes dominios, la identidad digital de un usuario en Internet es la llave que tiene para acceder e interactuar con casi todo. Si bien la compañía asegura haber realizado una gran inversión en mejoras vinculadas con la seguridad de la identidad, como parte de ese compromiso y deseo de seguir ofreciendo una mayor seguridad a los clientes es que lanza este programa de recompensas.

Postulaciones elegibles al Microsoft Identity Bounty Program

El objetivo del programa es premiar postulaciones de calidad que sean un fiel reflejen de la investigación que hay detrás de la vulnerabilidad detectada. En este sentido, la expectativa por parte de Microsoft es que los investigadores que postulen puedan compartir sus conocimientos con los ingenieros y desarrolladores de Microsoft y que estos últimos puedan comprender y reproducir de manera rápida el descubrimiento del participante.

La presentación de vulnerabilidades debe cumplir con los siguientes criterios para ser elegibles para el premio:

  • Identificar una vulnerabilidad importante o crítica que sea original, que no haya sido reportada anteriormente y que se reproduzca en alguno de los servicios de Microsoft Identity que figuran en la lista de alcance.
  • Identificar una vulnerabilidad original y que no haya sido reportada previamente y que repercuta en una cuenta Microsoft o cuenta de Azure Active Directory.
  • Identificar una vulnerabilidad original y que no haya sido reportada previamente en los estándares de la Open ID o con el protocolo implementado en los productos, servicios o librerías certificados por Microsoft.
  • Postulaciones sobre cualquier versión de la aplicación Microsoft Authenticator, pero las recompensas solo se pagarán si el error se puede reproducir en la última versión disponible de manera pública.
  • Incluir una descripción del problema y una descripción concisa de los pasos necesarios para reproducirla que sean fáciles de comprender. (Esto permite que las postulaciones sean procesadas de forma rápida y admite el pago más alto para el tipo de vulnerabilidad reportada).
  • Incluir el impacto de la vulnerabilidad.
  • Incluir un vector de ataque si no resulta obvio.

Alcance

  • windows.net
  • microsoftonline.com
  • live.com
  • live.com
  • windowsazure.com
  • activedirectory.windowsazure.com
  • activedirectory.windowsazure.com
  • office.com
  • microsoftonline.com
  • Microsoft Authenticator (iOS y aplicaciones Android) 

Como mencionamos al comienzo del artículo, los pagos más altos se otorgarán dependiendo de la calidad del informe presentado y el impacto de la vulnerabilidad encontrada.  Por otro lado, los pagos más bajos generalmente son comúnmente otorgados para vulnerabilidades que requieren mucha interacción por parte del usuario.

Para más información, visita la convocatoria oficial del Microsoft Identity Bounty Program.