Újabb vadászatra hív a Microsoft

​Akár 100 ezer dollárt is kasszírozhat az, aki a Microsoft hitelesítési megoldásaiban biztonsági rést talál, és azt etikus módon kezeli, valamint jelenti a vállalat mérnökei számára.
 

A Microsoft több hibavadász programot is futtat párhuzamosan annak érdekében, hogy a biztonsági kutatókat ilyen módon is ösztökélje a sérülékenységek feltárására. Akik azonban eddig a cég különféle hitelesítő, azonosító technológiáit akarták próbára tenni, nem igazán számíthattak jutalomra. Mostantól azonban mindez megváltozott, nem is akárhogy. A Microsoft ugyanis erre a célra is létrehozott egy kezdeményezést, amely 100 ezer dolláros díjjal kecsegtet.
 
A Microsoft Identity Services kapcsán indított hibavadászat elsősorban olyan sérülékenységekre koncentrál, amelyek Microsoft vagy Azure Active Directory fiókokhoz történő jogosulatlan hozzáférésre adhatnak lehetőséget. Különös figyelmet szentel a többfaktoros azonosítás megerősítésére is, így bekerült a programba a Microsoft Authenticator alkalmazás iOS és Android kompatibilis kiadása.
 
A fentieken túl a hibák után kutató szakemberek az alábbi domainek alatt működő szolgáltatások kapcsán is jelezhetnek sebezhetőségeket:
login.windows.net
login.microsoftonline.com
login.live.com
account.live.com
account.windowsazure.com
account.activedirectory.windowsazure.com
credential.activedirectory.windowsazure.com
portal.office.com
passwordreset.microsoftonline.com.
 
Ugyancsak van lehetőség az OpenID, valamint az OAuth implementációk vizsgálatára. Ez esetben a jutalom maximálisan 75 ezer dollár lehet.
 
A legnagyobb, 100 ezer dolláros jutalom akkor jár, ha valaki olyan módszert talál, amivel kétfaktoros hitelesítéssel védett fiókok is törhetővé válhatnak. Persze ezúttal is szükség van arra, hogy a hiba feltárója megfelelően dokumentált módon, kellő részletességgel, lehetőleg proof-of-concept kód megküldésével jelezze a Microsoftnak a felfedezését.
 
"Jó minőségű jelentésekre van szükségük a mérnököknek ahhoz, hogy reprodukálhassák, megérthessék, majd javíthassák a sérülékenységeket. Ehhez szükségük van háttérinformációkra, a hiba pontos leírására és egy minta támadókódra. Néhány sérülékenység ugyanis nagyon nehezen reprodukálható és elemezhető" - nyilatkozta a Microsoft képviselője.
Vélemények
 
  1. 3

    A Joomla webes tartalomkezelő rendszer egy újabb biztonsági hibától vált meg.

  2. 4

    A FortiClient fejlesztői egy biztonsági rést foltoztak be.

  3. 2

    A Ryuk zsaroló program is fájlok titkosítására, illetve váltságdíj követelésére hangolódott.

 
Partnerhírek
​Japán vírussal védekezne a kibertámadások ellen

Védekezési célokra használná a japán kormány azt a vírust, melyet a szigetország vállalkozásaival együtt dolgozna ki. A védekező kártevő a szigetország kibervédelmi stratégiájának része.

​Illegális webáruházakat zártak be

Komoly nemzetközi összefogással a hatóságok több országból lezártak két webshopot, mely az illegális interneten törvénytelen termékeket és szolgáltatásokat árusított.

hirdetés
Közösség
1