微软因在其身份识别服务中发现漏洞而悬赏10万美元

黑客入侵网络和窃取数据变得比以往任何时候都更常见、更容易，但并非所有数据都具有相同的商业价值或风险。

由于如今的新安全性依赖于域内和域间身份和身份数据的协作通信，因此客户的数字身份通常是访问服务和在互联网上交互的关键。

微软表示，该公司在“创建、实施和改进与身份相关的规范”方面投入了大量资金，这些规范鼓励“强大的身份验证、安全登录、会话、API安全和其他关键的基础设施任务”

因此，为了进一步加强客户的安全，这家科技巨头推出了一项全新的、独立的漏洞赏金计划。

新推出的bug Bounty计划名为Microsoft Identity Bounty Program，涵盖了Microsoft帐户和Azure Active Directory身份解决方案，以及OpenID规范的一些实现。

根据安全研究人员和漏洞搜寻者发现的影响，新的微软身份赏金计划的支出从500美元到100000美元不等。

“如果您是一名安全研究人员，并且在身份服务中发现了一个安全漏洞，我们非常感谢您的帮助，帮助我们私下披露该漏洞，并让我们有机会在发布技术细节之前修复它，”首席安全组经理菲利普·米斯纳写道。

“提交标准协议或实施奖励时，需要在本奖励范围内使用完全批准的身份标准，并且已经发现在我们的认证产品、服务或库中实施的协议存在安全漏洞。”

微软的身份奖励计划

如果你想参加微软身份赏金计划，你需要提供高质量的提交资料，反映你在发现中所做的研究，并与微软开发人员和工程师分享你的知识和专业技能，以便他们能够快速复制、理解和修复问题。

要有资格从Microsoft获得付款，您需要满足以下标准：

• 识别在范围内列出的Microsoft标识服务中复制的原始且以前未报告的关键或重要缺陷。
• 识别导致接管Microsoft帐户或Azure Active Directory帐户的原始和以前未报告的缺陷。
• 在列出的OpenID标准中，或在微软认证的产品、服务或库中实现的协议中，识别原始的和以前未报告的缺陷。
• 针对任何版本的Microsoft Authenticator应用程序提交，但仅当该漏洞针对最新的公开可用版本复制时，才会支付奖金。
• 包括对发现问题的描述，以及易于理解的简明再现性步骤。（这允许快速处理提交，并支持对报告的漏洞类型支付最高费用。）
• 包括脆弱性的影响。
• 包括攻击向量，如果不明显。

此外，该漏洞必须影响以下登录工具之一：

• 登录。窗户。网
• 登录。微软在线。具有
• 登录。居住通用域名格式
• 账户居住通用域名格式
• 账户。windowsazure。通用域名格式
• 账户。activedirectory。windowsazure。通用域名格式
• 凭据。activedirectory。windowsazure。具有
• 门户。办公室通用域名格式
• 密码重置。微软在线。通用域名格式
• 用于iOS和Android应用程序的Microsoft Authenticator

根据研究人员报告的质量和他们发现的漏洞对安全的影响，他们会获得更高的报酬。

对于需要大量用户交互的漏洞，通常会给出较低的金额。