Microsoft công bố 'Chương trình tiền thưởng danh tính' để phát hiện ra lỗ hổng nghiêm trọng trong các dịch vụ nhận dạng của mình

Vào thứ Ba ngày 17 tháng 7^{thứ tự}, Microsoft đã công bố Chương trình tiền thưởng danh tính phần thưởng cao cấp cho các nhà nghiên cứu và thợ săn lỗi phát hiện ra bất kỳ lỗ hổng bảo mật nào liên quan đến các dịch vụ nhận dạng của nó.

Theo Phillip Misner , Giám đốc Nhóm Bảo mật Chính của Trung tâm Phản hồi Bảo mật của Microsoft, Microsoft đã đầu tư rất nhiều vào quyền riêng tư và bảo mật của các giải pháp nhận dạng người tiêu dùng và doanh nghiệp của mình và tập trung vào việc cải tiến liên tục xác thực mạnh mẽ, các phiên đăng nhập an toàn, bảo mật API và các nhiệm vụ liên quan đến cơ sở hạ tầng quan trọng như vậy. Ông nhận xét: “Chúng tôi đã đầu tư mạnh mẽ vào việc tạo, triển khai và cải tiến các thông số kỹ thuật liên quan đến danh tính nhằm thúc đẩy xác thực mạnh mẽ, đăng nhập an toàn, phiên, bảo mật API và các nhiệm vụ cơ sở hạ tầng quan trọng khác, như một phần của cộng đồng các chuyên gia tiêu chuẩn trong các cơ quan tiêu chuẩn chính thức như IETF, W3C hoặc OpenID Foundation. ”

Chương trình này đã được đưa ra để đảm bảo rằng công nghệ quan trọng này vẫn an toàn nhất có thể cho người dùng. Nó cung cấp cho các nhà nghiên cứu lỗi và bảo mật cơ hội tiết lộ các lỗ hổng trong các dịch vụ nhận dạng cho Microsoft một cách riêng tư. Điều này sẽ cho phép công ty giải quyết vấn đề trước khi xuất bản các chi tiết kỹ thuật của mình.

Chi tiết thanh toán

Các khoản thanh toán cho chương trình tiền thưởng này sẽ từ $ 500 đến $ 100.000, tùy thuộc vào tác động của lỗi mà các nhà nghiên cứu đã tìm thấy.

Tiêu chí cho một Đệ trình Đủ điều kiện

Đệ trình lỗ hổng bảo mật được gửi tới Microsoft phải đáp ứng các tiêu chí nhất định :

• Xác định lỗ hổng bảo mật hoặc lỗ hổng quan trọng ban đầu và chưa được báo cáo trước đây tái tạo trong các dịch vụ Microsoft Identity của chúng tôi được liệt kê trong phạm vi.
• Xác định lỗ hổng ban đầu và chưa được báo cáo trước đó dẫn đến việc chiếm đoạt Tài khoản Microsoft hoặc Tài khoản Azure Active Directory.
• Xác định lỗ hổng ban đầu và chưa được báo cáo trước đó trong các tiêu chuẩn OpenID được liệt kê hoặc với giao thức được triển khai trong các sản phẩm, dịch vụ hoặc thư viện được chứng nhận của chúng tôi.
• Gửi chống lại bất kỳ phiên bản nào của ứng dụng Microsoft Authenticator, nhưng phần thưởng tiền thưởng sẽ chỉ được trả nếu lỗi tái tạo dựa trên phiên bản mới nhất, có sẵn công khai.
• Bao gồm mô tả vấn đề và các bước tái tạo ngắn gọn dễ hiểu. (Điều này cho phép các bài gửi được xử lý nhanh nhất có thể và hỗ trợ khoản thanh toán cao nhất cho loại lỗ hổng được báo cáo.)
• Bao gồm tác động của lỗ hổng bảo mật
• Bao gồm một vectơ tấn công nếu không rõ ràng
• Đối với các ứng dụng di động, nghiên cứu lỗ hổng phải được tái tạo trên phiên bản mới nhất và cập nhật của hệ điều hành và ứng dụng di động.

Ngoài ra, lỗi được phát hiện phải tác động đến bất kỳ công cụ nào sau đây:

• windows.net
• microsoftonline.com
• live.com
• live.com
• windowsazure.com
• activedirectory.windowsazure.com
• activedirectory.windowsazure.com
• office.com
• microsoftonline.com
• Microsoft Authenticator (ứng dụng iOS và Android) *
• OpenID Foundation - Gia đình OpenID Connect
  • OpenID Connect Core
  • Khám phá kết nối OpenID
  • Phiên kết nối OpenID
  • OAuth 2.0 Nhiều loại phản hồi
  • Các loại phản hồi khi đăng biểu mẫu OAuth 2.0

Chương trình có ý nghĩa vì nó có hàng triệu người dùng đã đăng ký trên khắp thế giới.

Có thể lấy thêm thông tin chi tiết về chương trình bao gồm tiêu chí thanh toán, các phương pháp bảo mật nghiên cứu bị cấm và tiêu chí cho các bài nộp không đủ điều kiện đây .