Microsoft breidt beloningsprogramma voor lekken uit naar authenticatiediensten

Microsoft heeft een uitbreiding van zijn bug bounty-programma aangekondigd, waardoor nu ook authenticatiediensten en -portalen onder het bereik van het programma vallen. De maximale beloning voor een gevonden lek van 'hoge kwaliteit' bedraagt honderdduizend dollar.

Het programma draagt de naam Identity Bounty, meldt Microsoft in een aankondiging. Het bedrijf hoopt daarmee ethische hackers en onderzoekers aan te trekken die zijn diensten op kwetsbaarheden onderzoeken en deze vervolgens bij Microsoft melden. Op die manier kan het lek gedicht worden voordat de onderzoeker zelf een technische beschrijving naar buiten kan brengen, aldus het bedrijf. Een incomplete melding van een lek, bijvoorbeeld van csrf of het lekken van gevoelige gegevens, levert het minimumbedrag van vijfhonderd dollar op. Een melding van hoge kwaliteit, onder meer voor het omzeilen van tweetrapsauthenticatie, is Microsoft tot honderdduizend dollar waard.

Microsoft beperkt het aantal domeinen waarop onderzoekers zich mogen richten. Daartoe behoren logindomeinen van windows.net, live.com, activedirectory.windowsazure.com en office.com. Ook de laatste versie van de Microsoft Authenticator-apps voor Android en iOS behoren tot de scope van het beloningsprogramma, net als de implementatie van OpenID-standaarden. Buiten het programma vallen bijvoorbeeld meldingen die zijn gegenereerd door geautomatiseerde tools, ontbrekende http-headers, denial of service en kwetsbaarheden die 'onwaarschijnlijke interacties van gebruikers' vereisen.

Microsoft hanteert, net als veel andere bedrijven, verschillende beloningsprogramma's. Na de publicatie van de Spectre- en Meltdown-lekken aan het begin van dit jaar introduceerde het bijvoorbeeld een tijdelijk programma voor dat soort kwetsbaarheden.

microsoft-id-bounty

Door Sander van Voorst

Nieuwsredacteur

Feedback • 18-07-2018 10:33 16

18-07-2018 • 10:33

16

Lees meer

Microsoft keerde afgelopen 12 maanden 13,6 miljoen dollar aan bugbounty's uit
Microsoft keerde afgelopen 12 maanden 13,6 miljoen dollar aan bugbounty's uit Nieuws van 9 juli 2021
Microsoft brengt crossplatform-wachtwoordmanager uit
Microsoft brengt crossplatform-wachtwoordmanager uit Nieuws van 7 februari 2021
Microsoft keerde afgelopen jaar 11,6 miljoen euro aan bugbountybeloningen uit
Microsoft keerde afgelopen jaar 11,6 miljoen euro aan bugbountybeloningen uit Nieuws van 5 augustus 2020
Google gaat betalen voor ontdekken van kwetsbaarheden in apps van derde partijen
Google gaat betalen voor ontdekken van kwetsbaarheden in apps van derde partijen Nieuws van 30 augustus 2019
Gerucht: Apple gaat speciale iPhones aan beveiligingsonderzoekers geven
Gerucht: Apple gaat speciale iPhones aan beveiligingsonderzoekers geven Nieuws van 6 augustus 2019
Tesla-garantie vervalt niet zolang onderzoekers zich aan bugbounty-eisen houden
Tesla-garantie vervalt niet zolang onderzoekers zich aan bugbounty-eisen houden Nieuws van 7 september 2018
Facebook introduceert beloningsprogramma voor melden datamisbruik
Facebook introduceert beloningsprogramma voor melden datamisbruik Nieuws van 11 april 2018
Microsoft start tijdelijk bugbountyprogramma voor lekken als Meltdown en Spectre
Microsoft start tijdelijk bugbountyprogramma voor lekken als Meltdown en Spectre Nieuws van 15 maart 2018
Google start bug-bountyprogramma voor Android-apps waaronder Dropbox en Tinder
Google start bug-bountyprogramma voor Android-apps waaronder Dropbox en Tinder Nieuws van 20 oktober 2017
Bug bounty-platform HackerOne kondigt gratis dienst voor opensourceprojecten aan
Bug bounty-platform HackerOne kondigt gratis dienst voor opensourceprojecten aan Nieuws van 3 maart 2017
EU breidt auditprogramma voor opensourcesoftware uit met bug bounty
EU breidt auditprogramma voor opensourcesoftware uit met bug bounty Nieuws van 2 december 2016
Meer producten en artikelen
Beveiliging en antivirus Microsoft Bugs Security

Reacties (16)

-Moderatie-faq
16
15
13
0
0
1
Wijzig sortering
Verwijderd 18 juli 2018 12:49
Ik ben benieuwd hoeveel hacking cursussen je nodig hebt en ervaring met pentesten om dit soort zwakheden te vinden.
totaalgeenhard @Verwijderd18 juli 2018 17:47
Soms geen enkele.
Jaerie 18 juli 2018 10:46
"Google beperkt het aantal domeinen" moet, neem ik aan, Microsoft zijn.
Chuk @Verwijderd18 juli 2018 11:01
Aangezien het toch om flinke bedragen gaat, is het logisch dat ze hun tijd nemen om het te onderzoeken en zolang op jouw zwijgen kunnen rekenen. Zolang je weet dat je het geld krijgt, kan het toch niet enorm veel kwaad om er even om te moeten wachten?
Verwijderd @Chuk18 juli 2018 11:09
Het gaat niet om het onderzoeken of het klopt maar om de bug te fixen! Ze gaan de bug pas bekend maken nadat deze is opgelost.

[Reactie gewijzigd door Verwijderd op 27 juli 2024 22:52]

Martinspire
@Verwijderd18 juli 2018 11:37
Lijkt me logisch toch? Niet eerder inbrekers de sleutel geven dan wanneer je weet dat ie niet meer werkt...
Verwijderd @Verwijderd18 juli 2018 12:14
Een hoge kwaliteitsbug is zoiets als een zero-day exploit. Oftewel een ernstig lek dat data of andere zaken kan compromitteren.
SlideR NL @Verwijderd18 juli 2018 16:11
Dat is niet helemaal waar. Die staan juist aangegeven in de linker kolom.
De high/medium/incomplete quality gaat over de hoeveelheid correcte en nette documentatie die erbij zit om de bug te reproduceren en te fixen.
Stoelpoot @Verwijderd18 juli 2018 11:06
In de afbeelding zie ik "High Quality Submissions" staan, wat mij eerder lijkt dat het om de kwaliteit van de inzending gaat. Dat is in lijn met de derde kolom voor incomplete inzendingen.
Verwijderd @Verwijderd18 juli 2018 11:20
Bij heel veel bedrijven gaat het zo, niet alleen bij Microsoft.
Verwijderd @Verwijderd18 juli 2018 11:58
Dit is hoe de meeste bug-bounty programma's werken en ook hoe de meeste white-hat hackers sowieso al werken. Dit lijkt me dan ook klagen om niks.
Verwijderd @Verwijderd18 juli 2018 12:17
Volgens mij is een duur van drie maanden voor 'gemiddelde' lekken en korter voor echt kritische lekken iets waar de gemeenschap zelf voor kiest. Genoeg mensen die een lek melden terwijl het nog niet gedicht is, ook al lopen ze daarom ( een deel van ) de beloning mis.
Relief2009 @Verwijderd18 juli 2018 12:26
Dus jij wilt al geld krijgen voor melden van een bug zonder dat zij het onderzocht hebben en zonder dat zij het gemeld hebben aan publiek. Lekker makkelijk geld verdienen dan.
Henrikop @Verwijderd18 juli 2018 13:02
Nee.

Bounties worden in de regel vrij snel uitbetaald nadat ze gevalideerd zijn. Ook de suggesties dat bugs geen hoge prio krijgen onderschrijf ik niet.

Het is hele simpele marktwerking. Als ze slecht uitbetalen en bugs laag kwalificeren gaat de aandacht van de hackers wel uit naar andere systemen. MS Heeft dus baat bij snel en goed uitbetalen. De schade van bugs kan zeer snel hoog oplopen. Dus ik denk dat je cynische blik niet overeenstemt met de werkelijkheid.

Je geeft geen bronnen, ik zoek er nu ook niet naar. Dus we geven hier enkel onze opinie.

https://medium.com/@colli...y-5-years-in-c95cda604365
fapkonijntje @Verwijderd18 juli 2018 13:50
Je doet nogal wat aannames. Denk je niet dat het handig is om die ook eens te onderbouwen? Nu lijkt het er vooral op dat je onderbuikgevoelens aan het spuien bent. Zeker richting een Microsoft die zich de laatste paar jaar van een héél andere kant laat zien, vind ik dat een beetje een vreemde manier van handelen. Er is namelijk totaal geen indicatie dat je verhaal kant noch wal raakt. De enige indicatie is dat jij een subjectieve afkeer hebt tegen een bedrijf.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq