Újabb vadászatra hív a Microsoft

​Akár 100 ezer dollárt is kasszírozhat az, aki a Microsoft hitelesítési megoldásaiban biztonsági rést talál, és azt etikus módon kezeli, valamint jelenti a vállalat mérnökei számára.
 

A Microsoft több hibavadász programot is futtat párhuzamosan annak érdekében, hogy a biztonsági kutatókat ilyen módon is ösztökélje a sérülékenységek feltárására. Akik azonban eddig a cég különféle hitelesítő, azonosító technológiáit akarták próbára tenni, nem igazán számíthattak jutalomra. Mostantól azonban mindez megváltozott, nem is akárhogy. A Microsoft ugyanis erre a célra is létrehozott egy kezdeményezést, amely 100 ezer dolláros díjjal kecsegtet.
 
A Microsoft Identity Services kapcsán indított hibavadászat elsősorban olyan sérülékenységekre koncentrál, amelyek Microsoft vagy Azure Active Directory fiókokhoz történő jogosulatlan hozzáférésre adhatnak lehetőséget. Különös figyelmet szentel a többfaktoros azonosítás megerősítésére is, így bekerült a programba a Microsoft Authenticator alkalmazás iOS és Android kompatibilis kiadása.
 
A fentieken túl a hibák után kutató szakemberek az alábbi domainek alatt működő szolgáltatások kapcsán is jelezhetnek sebezhetőségeket:
login.windows.net
login.microsoftonline.com
login.live.com
account.live.com
account.windowsazure.com
account.activedirectory.windowsazure.com
credential.activedirectory.windowsazure.com
portal.office.com
passwordreset.microsoftonline.com.
 
Ugyancsak van lehetőség az OpenID, valamint az OAuth implementációk vizsgálatára. Ez esetben a jutalom maximálisan 75 ezer dollár lehet.
 
A legnagyobb, 100 ezer dolláros jutalom akkor jár, ha valaki olyan módszert talál, amivel kétfaktoros hitelesítéssel védett fiókok is törhetővé válhatnak. Persze ezúttal is szükség van arra, hogy a hiba feltárója megfelelően dokumentált módon, kellő részletességgel, lehetőleg proof-of-concept kód megküldésével jelezze a Microsoftnak a felfedezését.
 
"Jó minőségű jelentésekre van szükségük a mérnököknek ahhoz, hogy reprodukálhassák, megérthessék, majd javíthassák a sérülékenységeket. Ehhez szükségük van háttérinformációkra, a hiba pontos leírására és egy minta támadókódra. Néhány sérülékenység ugyanis nagyon nehezen reprodukálható és elemezhető" - nyilatkozta a Microsoft képviselője.
Vélemények
 
  1. 4

    A Python, illetve a széles körben használt NumPy modul kapcsán egy biztonsági hiba került napvilágra.

  2. 4

    A Drupal fejlesztői két veszélyes biztonsági rést foltoztak be.

  3. 1

    A Windtail trójai a Mac-gépekre jelent veszélyt, mivel azokon egy hátsó kaput létesít, ami további károkozásokhoz járulhat hozzá.

 
Partnerhírek
Office 365 pár száz forintért?

Ugyan jól hangzik, hogy egy életre szóló előfizetést kaphatunk a Microsoft népszerű irodai programcsomagjához csupán háromszáz forintért, de átverésről van szó, amelynek végén akár személyes adataink is veszélybe kerülhetnek.

​Amikor a rendőrséget támadja a zsarolóvírus

Amikor bűnözők áldozatává válunk, olyankor a rendőrséghez fordulunk segítségért. De kihez fordul a rendőrség, amikor mondjuk egy zsarolóvírus bénítja meg a rendszereit?

hirdetés
Közösség
1