マイクロソフトは、アイデンティティサービスの深刻な脆弱性を発見するための「アイデンティティバウンティプログラム」を発表しました

7月17日火曜日^th、マイクロソフトは アイデンティティバウンティプログラム これは、IDサービスにセキュリティ関連の脆弱性を発見したバグ研究者やハンターにプレミアム報酬を提供します。

フィリップ・ミスナーによると 、マイクロソフトセキュリティレスポンスセンターのプリンシパルセキュリティグループマネージャーであるマイクロソフトは、コンシューマーおよびエンタープライズIDソリューションのプライバシーとセキュリティに多額の投資を行い、強力な認証、安全なサインインセッション、APIセキュリティ、およびそのような重要なインフラストラクチャ関連タスクの継続的な改善に注力してきました。彼は次のようにコメントしています。「標準化の専門家のコミュニティの一部として、強力な認証、安全なサインオン、セッション、APIセキュリティ、およびその他の重要なインフラストラクチャタスクを促進するID関連の仕様の作成、実装、および改善に多大な投資を行ってきました。 IETF、W3C、OpenIDFoundationなどの公式標準化団体内で。」

このプログラムは、この重要なテクノロジーがユーザーにとって可能な限り安全であり続けることを保証するために開始されました。バグとセキュリティの研究者に、IDサービスの脆弱性をマイクロソフトに非公開で開示する機会を提供します。これにより、会社は技術的な詳細を公開する前に問題を解決することができます。

支払いの詳細

この報奨金プログラムの支払いは、研究者が発見したバグの影響に応じて、500ドルから100,000ドルの範囲になります。

適格な提出の基準

マイクロソフトに送信される脆弱性の提出は、 与えられた基準を満たす ：

• スコープ内にリストされているMicrosoftIdentityサービスで再現される、元の、以前に報告されていない重大または重要な脆弱性を特定します。
• MicrosoftアカウントまたはAzureActiveDirectoryアカウントの乗っ取りにつながる元の以前に報告されていない脆弱性を特定します。
• リストされたOpenID標準、または認定された製品、サービス、またはライブラリに実装されているプロトコルで、元の、以前に報告されていない脆弱性を特定します。
• Microsoft Authenticatorアプリケーションの任意のバージョンに対して送信しますが、賞金は、バグが最新の公開されているバージョンに対して再現された場合にのみ支払われます。
• 問題の説明と、簡単に理解できる簡潔な再現性の手順を含めます。 （これにより、提出物を可能な限り迅速に処理でき、報告されている脆弱性の種類に対して最高の支払いをサポートします。）
• 脆弱性の影響を含める
• 明らかでない場合は攻撃ベクトルを含める
• モバイルアプリケーションの場合、脆弱性の調査は、モバイルOSとアプリの最新バージョンと更新バージョンで再現する必要があります。

また、発見されたバグは、次のツールのいずれかに影響を与える必要があります。

• windows.net
• microsoftonline.com
• live.com
• live.com
• windowsazure.com
• activedirectory.windowsazure.com
• activedirectory.windowsazure.com
• office.com
• microsoftonline.com
• Microsoft Authenticator（iOSおよびAndroidアプリケーション）*
• OpenID Foundation – OpenIDConnectファミリー
  • OpenID Connect Core
  • OpenIDコネクトディスカバリー
  • OpenID接続セッション
  • OAuth2.0複数の応答タイプ
  • OAuth2.0フォームのPOST応答タイプ

このプログラムは、世界中に何百万もの登録ユーザーがいることを考えると、理にかなっています。

支払い基準、禁止されている研究セキュリティ方法、不適格な提出の基準など、プログラムの詳細を入手できます。 ここに 。