Újabb vadászatra hív a Microsoft

​Akár 100 ezer dollárt is kasszírozhat az, aki a Microsoft hitelesítési megoldásaiban biztonsági rést talál, és azt etikus módon kezeli, valamint jelenti a vállalat mérnökei számára.
 

A Microsoft több hibavadász programot is futtat párhuzamosan annak érdekében, hogy a biztonsági kutatókat ilyen módon is ösztökélje a sérülékenységek feltárására. Akik azonban eddig a cég különféle hitelesítő, azonosító technológiáit akarták próbára tenni, nem igazán számíthattak jutalomra. Mostantól azonban mindez megváltozott, nem is akárhogy. A Microsoft ugyanis erre a célra is létrehozott egy kezdeményezést, amely 100 ezer dolláros díjjal kecsegtet.
 
A Microsoft Identity Services kapcsán indított hibavadászat elsősorban olyan sérülékenységekre koncentrál, amelyek Microsoft vagy Azure Active Directory fiókokhoz történő jogosulatlan hozzáférésre adhatnak lehetőséget. Különös figyelmet szentel a többfaktoros azonosítás megerősítésére is, így bekerült a programba a Microsoft Authenticator alkalmazás iOS és Android kompatibilis kiadása.
 
A fentieken túl a hibák után kutató szakemberek az alábbi domainek alatt működő szolgáltatások kapcsán is jelezhetnek sebezhetőségeket:
login.windows.net
login.microsoftonline.com
login.live.com
account.live.com
account.windowsazure.com
account.activedirectory.windowsazure.com
credential.activedirectory.windowsazure.com
portal.office.com
passwordreset.microsoftonline.com.
 
Ugyancsak van lehetőség az OpenID, valamint az OAuth implementációk vizsgálatára. Ez esetben a jutalom maximálisan 75 ezer dollár lehet.
 
A legnagyobb, 100 ezer dolláros jutalom akkor jár, ha valaki olyan módszert talál, amivel kétfaktoros hitelesítéssel védett fiókok is törhetővé válhatnak. Persze ezúttal is szükség van arra, hogy a hiba feltárója megfelelően dokumentált módon, kellő részletességgel, lehetőleg proof-of-concept kód megküldésével jelezze a Microsoftnak a felfedezését.
 
"Jó minőségű jelentésekre van szükségük a mérnököknek ahhoz, hogy reprodukálhassák, megérthessék, majd javíthassák a sérülékenységeket. Ehhez szükségük van háttérinformációkra, a hiba pontos leírására és egy minta támadókódra. Néhány sérülékenység ugyanis nagyon nehezen reprodukálható és elemezhető" - nyilatkozta a Microsoft képviselője.
Vélemények
 
  1. 4

    A Drupal alapú weboldalak frissítését mihamarabb célszerű elvégezni.

  2. 3

    A McAfee Data Loss Prevention egy közepes veszélyességű biztonsági hibát tartalmaz.

  3. 1

    A Betabot trójai számos kártékony tevékenységbe tud bekapcsolódni. A neve ellenére már egyáltalán nem béta verzióról van szó.

 
Partnerhírek
Okoseszközeink az áramellátást is veszélyeztethetik

A kiberbűnözők internetes hálózatba kapcsolt háztartási készülékeket köthetnek botnetekbe, hogy manipulálhassák az energiahálózatot.

Amikor az ellátási lánc a gyenge pont

Október elején az egész biztonsági világ rácsodálkozott a neves Bloomberg Businessweek tényfeltáró cikkére, mely hardverszintű beépített kémkedésről szólt.

hirdetés
Közösség
1