Microsoft vừa ra mắt chương trình tìm lỗi có thưởng cho các nhà nghiên cứu tìm ra lỗ hổng bảo mật trong các “dịch vụ danh tính” của công ty.
Hack mạng lưới và ăn cắp dữ liệu giờ đã là một chuyện phổ biến và dễ dàng hơn bao giờ hết nhưng không phải tất cả dữ liệu đều chứa giá trị kinh doanh hoặc mang nguy cơ tương tự nhau.
Ngày nay, do bảo mật phụ thuộc vào sự giao thoa giữa danh tính và dữ liệu danh tính trong và ngoài các tên miền, danh tính kỹ thuật số của khách hàng thường là chìa khóa để truy cập vào các dịch vụ và tương tác trên Internet.
Microsoft cho biết công ty này đã đầu tư mạnh vào “việc sáng chế, thực hiện, và nâng cao kỹ thuật liên quan đến danh tính” nhằm khuyến khích “khả năng xác thực cao và đảm bảo sign-on, các phiên làm việc, API cũng như các tác vụ hạ tầng khác được bảo mật.”
Vì vậy, để tăng cường hơn nữa bảo mật cho khách hàng, công ty khổng lồ ngành công nghệ này đã đưa ra một chương trình tìm lỗi trao tiền thưởng độc lập hoàn toàn mới.
Được đặt tên là Chương trình Microsoft Identity Bounty, chương trình mới ra mắt này áp dụng cho các dịch vụ danh tính của Tài khoản Microsoft và Azure Active Directory, cũng như một số triển khai của kỹ thuật OpenID.
Tiền thưởng cho Chương trình Microsoft Identity Bounty dao động từ 500 đô đến 100,000 đô phụ thuộc vào độ ảnh hưởng của lỗi mà các nhà nghiên cứu bảo mật và thợ săn lỗi tìm thấy.
“Nếu bạn là một nhà nghiên cứu bảo mật và đã phát hiện ra một lỗ hổng bảo mật trong dịch vụ danh tính, chúng tôi đánh giá cao sự giúp đỡ của bạn nếu bạn báo cáo riêng với chúng tôi và giúp chúng tôi có cơ hội sửa lỗi đó trước khi xuất bản chi tiết kỹ thuật,” Phillip Misner, Quản lí Đội Bảo mật chính của Microsoft viết.
“Báo cáo liên quan đến các lỗi về giao thức hoặc lỗi áp dụng cần tuân theo tiêu chuẩn nhận dạng đã định trước trong khuôn khổ chương trình trao thưởng này và người báo cáo phải phát hiện được một lỗ hổng bảo mật trong giao thức được áp dụng trong số sản phẩm, dịch vụ hoặc thư viện chứng nhận của chúng tôi.”
Chương trình Microsoft Identity Bounty
Nếu bạn muốn tham gia vào chương trình Microsoft Identity Bounty, bạn sẽ phải cung cấp báo cáo chất lượng cao phản ánh nỗ lực nghiên cứu đưa tới kết quả mà bạn tìm được và chia sẻ kiến thức cũng như chuyên môn của bạn với các nhà phát triển và kỹ sư của Microsoft để họ có thể nhanh chóng sao lưu, hiểu, và khắc phục vấn đề.
Để đủ điều kiện nhận tiền thưởng từ Microsoft, bạn sẽ cần phải đáp ứng các tiêu chí sau:
- Xác định được một lỗ hổng quan trọng chưa ai phát hiện hoặc chưa được báo cáo trước đó đang xuất hiện trong danh sách liệt kê các dịch vụ danh tính của Microsoft
- Xác định được lỗ hổng chưa ai phát hiện hoặc chưa được báo cáo trước đó có thể dẫn tới chiếm dụng tài khoản Microsoft hoặc tài khoản Azure Active Directory.
- Xác định được lỗ hổng chưa ai phát hiện hoặc chưa được báo cáo trước đó trong các tiêu chuẩn OpenID được liệt kê hoặc với giao thức được thực hiện trong các sản phẩm, dịch vụ hoặc kho lưu được chứng nhận của Microsoft.
- Bạn có thể báo cáo lỗi của bất kì phiên bản ứng dụng Microsoft Authenticator nào nhưng tiền thưởng chỉ được áp dụng cho lỗ hổng xuất hiện trong phiên bản mới nhất.
- Gửi kèm bản mô tả vấn đề bạn tìm thấy cùng những bước để sao lưu ngắn gọn dễ hiểu. (Điều này cho phép báo cáo được xử lí nhanh và giúp bạn có được mức thưởng cao nhất cho lỗ hổng bạn tìm thấy.)
- Gửi kèm các tác động của lỗ hổng.
- Gửi kèm một vector tấn công nếu báo cáo chưa rõ ràng.
Ngoài ra, các lỗ hổng phải ảnh hưởng đến một trong những công cụ đăng nhập sau:
- login.windows.net
- login.microsoftonline.com
- login.live.com
- account.live.com
- account.windowsazure.com
- account.activedirectory.windowsazure.com
- credential.activedirectory.windowsazure
- portal.office.com
- passwordreset.microsoftonline.com
- Microsoft Authenticator dành cho các ứng dụng iOS và Android
Tiền thưởng cao được trao cho các nhà nghiên cứu dựa trên chất lượng báo cáo và mức ảnh hưởng bảo mật của lỗ hổng họ tìm thấy. Tiền thưởng thấp thường được trao cho lỗ hổng cần người dùng tương tác.
Theo Security Daily