Znalazłeś lukę w usługach Microsoftu? Firma wypłaci Ci nawet 30 tys. USD nagrody

Znalazłeś lukę w usługach Microsoftu? Firma wypłaci Ci nawet 30 tys. USD nagrody

Krzysztof Sulikowski
16:22
04.03.2017
1 komentarz
1743 wyświetlenia

Na przestrzeni ostatnich tygodni Google kilkukrotnie zawstydził Microsoft, ujawniając informacje o niezałatanych podatnościach w aktualnych wersjach oprogramowania. By uniknąć powtórki z rozrywki i przy tym zadbać o większe bezpieczeństwo swoich usług, firma podwoiła nagrodę w organizowanym przez siebie programie tropienia błędów. Od 1 marca do 31 maja tego roku za zgłoszenie luki w zabezpieczeniach można będzie zgarnąć nawet 30 000 dolarów!

Taki model wyszukiwania usterek, choć może firmę wiele kosztować, znacznie przyspiesza proces tworzenia poprawek. Odkrywcy przesyłają zgłoszenia, Microsoft wypłaca nagrodę i ustala dla łatek odpowiedni priorytet. Nieco inaczej jest w bardziej klasycznych przypadkach, w których dobrze odnajdują się specjaliści z Google. Większość niezależnych odkrywców wyznacza dostawcom 3-miesięczne ultimatum. Jeśli producent nie wypuści w tym czasie łatki, wszelkie informacje o podatności zostają upublicznione. Nie trzeba chyba wspominać, że dla cyberprzestępców stanowi to idealną i niewymagającą wysiłku pożywkę.

Bounty

Nagrody wyznaczono za ustalenie błędów w kilkunastu domenach, wliczając w to portal.office.com, outlook.office365.com, outlook.office.com, *.outlook.com oraz outlook.com, a także w kilkudziesięciu punktach końcowych. Rzecz jasna nie każdy, kto zgłosi jakąkolwiek usterkę, zostanie z miejsca obsypany złotem. Microsoft szuka przede wszystkim dziewięciu rodzajów błędów:

  • Cross Site Scripting (XSS).
  • Cross Site Request Forgery (CSRF).
  • Nieautoryzowane ingerowanie w między-tenantowe dane lub dostęp (dla multi-tenantowych usług).
  • Niezabezpieczone bezpośrednie odniesienia do obiektów.
  • Podatności na wstrzyknięcie.
  • Podatności związane z uwierzytelnianiem.
  • Wykonanie kodu po stronie serwera.
  • Eskalacja uprawnień.
  • Znacząco błędna konfiguracja bezpieczeństwa (niespowodowana przez użytkownika).

Czy nagroda jest adekwatna do wykonanej pracy? Dla uczciwych badaczy i hobbystów - tak. Z drugiej strony nie stanowi to specjalnej zachęty dla Black Hatów, bowiem ceny za informacje o podatnościach Zero Day na czarnym rynku dochodzą nawet do 200 tys. USD. Zasady programu - Online Services Bug Bounty Terms - można znaleźć na stronie Microsoft Security TechCenter.


Spodobał Ci się ten artykuł? Podziel się z innymi!

Źródło: https://mspoweruser.com/microsoft-will-now-pay-30000-bug-bounty-hunters-limited-time/

Polecamy również w kategorii Bezpieczeństwo

Komentarze

  • Ja 11:36 05.03.2017

    W myśl najnowszej, polskiej ustawy czekającej na podpis, nawet zgłoszenie istniejącej luki bezpieczeństwa w systemie będzie karane więzieniem. Tak więc Polacy - obejdźmy się smakiem, jak nie chcemy trafić do więzienia i stracić dorobku życia!

Skomentuj

Autor