Ceny usługi Microsoft Bug Bounty wzrastają nawet o 30% w przypadku badaczy zabezpieczeń, którzy wykryli luki w zabezpieczeniach usługi Office 365 i konta Microsoft.
„Poprzez te nowe nagrody w oparciu o scenariusze, zachęcamy badaczy do skupienia się w swoich badaniach na lukach, które mają największy potencjalny wpływ na prywatność i bezpieczeństwo klientów” — ujawniono w komunikacie Microsoft Security Response Center (MSRC).
Jakie są ceny Microsoft Bug Bounty?
Nagrody wzrastają nawet o 30% w przypadku kwalifikujących się zgłoszeń scenariuszy i mogą osiągnąć 26 000 USD za zgłoszoną lukę w zabezpieczeniach. Microsoft zauważył, że wady, które nie są uważane za „wysoki priorytet”, nadal kwalifikują się do nagród w ramach programu General Awards.
„Jeśli zgłoszona luka w zabezpieczeniach nie kwalifikuje się do nagrody w ramach scenariuszy o dużym wpływie, może kwalifikować się do nagrody w ramach nagród ogólnych” — mówi firma. Wyższe nagrody są nadal możliwe, ale według uznania Microsoft, w oparciu o wagę i wpływ luki oraz jakość zgłoszenia.
Zwiększenie nagrody
- Zdalne wykonanie kodu przez niezaufane dane wejściowe (CWE-94 „Niewłaściwa kontrola generowania kodu („Wstrzyknięcie kodu”)”) o 30,00%
- Zdalne wykonanie kodu poprzez niezaufane dane wejściowe (CWE-502 „Deserializacja niezaufanych danych”) o 30,00%
- Nieautoryzowany wyciek danych wrażliwych między dzierżawcami i tożsamościami krzyżowymi1 (CWE-200 „Ujawnienie informacji wrażliwych nieuprawnionemu podmiotowi”) o 20,00%
- Nieautoryzowany wyciek danych wrażliwych na krzyżową tożsamość (CWE-488 „Exposure of Data Element to Wrong Session”) o 20,00%
- Luki typu „Confused zastępca”, które można wykorzystać w praktycznym ataku, który uzyskuje dostęp do zasobów z pominięciem uwierzytelnienia (CWE-918 „Server-Side Request Forgery (SSRF)”) o 15,00%
Z zupełnie niezwiązanej uwagi: nadal możesz zarabiać pieniądze od firmy Microsoft, nawet jeśli nie jesteś badaczem bezpieczeństwa!
Microsoft ogłosił również, że rozszerzył swoje programy bug bounty o Exchange, SharePoint i Skype dla firm. Badacze bezpieczeństwa mogą teraz wykrywać i zgłaszać błędy w serwerach Exchange i SharePoint, aby zdobywać nagrody w wysokości od 500 do 26 000 USD. W oparciu o mnożniki istotności (między 15 a 30%), łowcy nagród mogą otrzymywać większe wypłaty za luki”.
ten Program nagród M365 Strona zawiera dodatkowe informacje o kwotach nagród, sytuacjach o dużym wpływie i nowej liście domen objętych zakresem.