Microsoft heeft een uitbreiding van zijn bug bounty-programma aangekondigd, waardoor nu ook authenticatiediensten en -portalen onder het bereik van het programma vallen. De maximale beloning voor een gevonden lek van 'hoge kwaliteit' bedraagt honderdduizend dollar.
Het programma draagt de naam Identity Bounty, meldt Microsoft in een aankondiging. Het bedrijf hoopt daarmee ethische hackers en onderzoekers aan te trekken die zijn diensten op kwetsbaarheden onderzoeken en deze vervolgens bij Microsoft melden. Op die manier kan het lek gedicht worden voordat de onderzoeker zelf een technische beschrijving naar buiten kan brengen, aldus het bedrijf. Een incomplete melding van een lek, bijvoorbeeld van csrf of het lekken van gevoelige gegevens, levert het minimumbedrag van vijfhonderd dollar op. Een melding van hoge kwaliteit, onder meer voor het omzeilen van tweetrapsauthenticatie, is Microsoft tot honderdduizend dollar waard.
Microsoft beperkt het aantal domeinen waarop onderzoekers zich mogen richten. Daartoe behoren logindomeinen van windows.net, live.com, activedirectory.windowsazure.com en office.com. Ook de laatste versie van de Microsoft Authenticator-apps voor Android en iOS behoren tot de scope van het beloningsprogramma, net als de implementatie van OpenID-standaarden. Buiten het programma vallen bijvoorbeeld meldingen die zijn gegenereerd door geautomatiseerde tools, ontbrekende http-headers, denial of service en kwetsbaarheden die 'onwaarschijnlijke interacties van gebruikers' vereisen.
Microsoft hanteert, net als veel andere bedrijven, verschillende beloningsprogramma's. Na de publicatie van de Spectre- en Meltdown-lekken aan het begin van dit jaar introduceerde het bijvoorbeeld een tijdelijk programma voor dat soort kwetsbaarheden.