Microsoft объявила об увеличении своей программы Bounty for Defense с 50 000 до 100 000 долларов и расширении своей программы Online Services Bug Bounty, включая бонусный период, в течение которого некоторые уязвимости аутентификации будут получать двойные вознаграждения.
По словам Джейсона Ширка в своем объявлении на TechNet о повышении награды за оборону:
Ставит защиту наравне с атакой
В равной степени награждает нового защитника за их исследования.
Чтобы уточнить, Microsoft предложила вознаграждение в размере до 100 000 долларов за новые уязвимости удаленного выполнения кода с тех пор, как в июне 2013 года представила свою Mitigation Bypass Bounty. Она также предложила дополнительный бонус для защиты за отправку отчета, в котором описано, как заблокировать такие методы эксплуатации. который был установлен в размере 50 000 долларов.
Теперь две награды были разделены, и исследователи, которые представили в Microsoft защитные методы, могут иметь право на вознаграждение в размере до 100 000 долларов. Как и прежде, все награды будут выплачиваться по усмотрению Мирософт.
Другой новостью в объявлении, которое было приурочено к Black Hat 2015, ежегодному собранию сообщества исследователей безопасности, было расширение программы Microsoft Online Services Bug Bounty, первоначально запущенной в сентябре 2014 года, с включением учетной записи Microsoft. Чтобы дать дополнительный импульс исследователям для поиска уязвимостей аутентификации, в течение следующих трех месяцев, до 5 октября 2015 г., квалифицированные заявки будут иметь право на двойное вознаграждение до максимальной суммы в 30 000 долларов США.
Это могут быть три домена учетной записи Microsoft:
login.windows.net
login.microsoftonline.com
login.live.com
и типы уязвимости, которые будут квалифицированы, включают:
Допустимые материалы будут включать уязвимости следующих типов:
Межсайтовый скриптинг (XSS)
Подделка межсайтовых запросов (CSRF)
Несанкционированный доступ к данным или несанкционированный доступ к данным между арендаторами (для мультитенантных сервисов)
Небезопасные прямые ссылки на объекты
Инъекционные уязвимости
Уязвимости аутентификации
Выполнение кода на стороне сервера
Повышение привилегий
Существенная неправильная конфигурация системы безопасности (если не по вине пользователя)
Кроме того, Remote App, которое позволяет пользователям запускать приложения Windows, размещенные в Azure, где угодно и на различных устройствах, добавляется в качестве нового свойства программы Online Services Bug Bounty.