Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Microsoft breidt beloningsprogramma voor lekken uit naar authenticatiediensten

Microsoft heeft een uitbreiding van zijn bug bounty-programma aangekondigd, waardoor nu ook authenticatiediensten en -portalen onder het bereik van het programma vallen. De maximale beloning voor een gevonden lek van 'hoge kwaliteit' bedraagt honderdduizend dollar.

Het programma draagt de naam Identity Bounty, meldt Microsoft in een aankondiging. Het bedrijf hoopt daarmee ethische hackers en onderzoekers aan te trekken die zijn diensten op kwetsbaarheden onderzoeken en deze vervolgens bij Microsoft melden. Op die manier kan het lek gedicht worden voordat de onderzoeker zelf een technische beschrijving naar buiten kan brengen, aldus het bedrijf. Een incomplete melding van een lek, bijvoorbeeld van csrf of het lekken van gevoelige gegevens, levert het minimumbedrag van vijfhonderd dollar op. Een melding van hoge kwaliteit, onder meer voor het omzeilen van tweetrapsauthenticatie, is Microsoft tot honderdduizend dollar waard.

Microsoft beperkt het aantal domeinen waarop onderzoekers zich mogen richten. Daartoe behoren logindomeinen van windows.net, live.com, activedirectory.windowsazure.com en office.com. Ook de laatste versie van de Microsoft Authenticator-apps voor Android en iOS behoren tot de scope van het beloningsprogramma, net als de implementatie van OpenID-standaarden. Buiten het programma vallen bijvoorbeeld meldingen die zijn gegenereerd door geautomatiseerde tools, ontbrekende http-headers, denial of service en kwetsbaarheden die 'onwaarschijnlijke interacties van gebruikers' vereisen.

Microsoft hanteert, net als veel andere bedrijven, verschillende beloningsprogramma's. Na de publicatie van de Spectre- en Meltdown-lekken aan het begin van dit jaar introduceerde het bijvoorbeeld een tijdelijk programma voor dat soort kwetsbaarheden.

Door Sander van Voorst

Nieuwsredacteur

18-07-2018 • 10:33

16 Linkedin Google+

Reacties (16)

Wijzig sortering
Ik ben benieuwd hoeveel hacking cursussen je nodig hebt en ervaring met pentesten om dit soort zwakheden te vinden.
"Google beperkt het aantal domeinen" moet, neem ik aan, Microsoft zijn.
Aangezien het toch om flinke bedragen gaat, is het logisch dat ze hun tijd nemen om het te onderzoeken en zolang op jouw zwijgen kunnen rekenen. Zolang je weet dat je het geld krijgt, kan het toch niet enorm veel kwaad om er even om te moeten wachten?
Het gaat niet om het onderzoeken of het klopt maar om de bug te fixen! Ze gaan de bug pas bekend maken nadat deze is opgelost.

[Reactie gewijzigd door ArtGod op 18 juli 2018 11:11]

Lijkt me logisch toch? Niet eerder inbrekers de sleutel geven dan wanneer je weet dat ie niet meer werkt...
Een hoge kwaliteitsbug is zoiets als een zero-day exploit. Oftewel een ernstig lek dat data of andere zaken kan compromitteren.
Dat is niet helemaal waar. Die staan juist aangegeven in de linker kolom.
De high/medium/incomplete quality gaat over de hoeveelheid correcte en nette documentatie die erbij zit om de bug te reproduceren en te fixen.
In de afbeelding zie ik "High Quality Submissions" staan, wat mij eerder lijkt dat het om de kwaliteit van de inzending gaat. Dat is in lijn met de derde kolom voor incomplete inzendingen.
Bij heel veel bedrijven gaat het zo, niet alleen bij Microsoft.
Dit is hoe de meeste bug-bounty programma's werken en ook hoe de meeste white-hat hackers sowieso al werken. Dit lijkt me dan ook klagen om niks.
Volgens mij is een duur van drie maanden voor 'gemiddelde' lekken en korter voor echt kritische lekken iets waar de gemeenschap zelf voor kiest. Genoeg mensen die een lek melden terwijl het nog niet gedicht is, ook al lopen ze daarom ( een deel van ) de beloning mis.
Dus jij wilt al geld krijgen voor melden van een bug zonder dat zij het onderzocht hebben en zonder dat zij het gemeld hebben aan publiek. Lekker makkelijk geld verdienen dan.
Nee.

Bounties worden in de regel vrij snel uitbetaald nadat ze gevalideerd zijn. Ook de suggesties dat bugs geen hoge prio krijgen onderschrijf ik niet.

Het is hele simpele marktwerking. Als ze slecht uitbetalen en bugs laag kwalificeren gaat de aandacht van de hackers wel uit naar andere systemen. MS Heeft dus baat bij snel en goed uitbetalen. De schade van bugs kan zeer snel hoog oplopen. Dus ik denk dat je cynische blik niet overeenstemt met de werkelijkheid.

Je geeft geen bronnen, ik zoek er nu ook niet naar. Dus we geven hier enkel onze opinie.

https://medium.com/@colli...y-5-years-in-c95cda604365
Je doet nogal wat aannames. Denk je niet dat het handig is om die ook eens te onderbouwen? Nu lijkt het er vooral op dat je onderbuikgevoelens aan het spuien bent. Zeker richting een Microsoft die zich de laatste paar jaar van een héél andere kant laat zien, vind ik dat een beetje een vreemde manier van handelen. Er is namelijk totaal geen indicatie dat je verhaal kant noch wal raakt. De enige indicatie is dat jij een subjectieve afkeer hebt tegen een bedrijf.

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True