Microsoft zahlt jetzt für eine begrenzte Zeit bis zu 30,000 US-Dollar für Bug-Bounty-Jäger aus

Startseite » Microsoft

Symbol für die Lesezeit 2 Minute. lesen

Kalendersymbol Veröffentlicht am

by Surur Davids 

Veröffentlicht am

Teile diesen Artikel

Leser unterstützen MSpoweruser. Wir erhalten möglicherweise eine Provision, wenn Sie über unsere Links kaufen. Tooltip-Symbol

Lesen Sie unsere Offenlegungsseite, um herauszufinden, wie Sie MSPoweruser dabei helfen können, das Redaktionsteam zu unterstützen Lesen Sie weiter

In den letzten Wochen hat Google Microsoft zweimal in Verlegenheit gebracht, indem es Informationen über Sicherheitslücken in Windows 10 veröffentlichte, bevor Microsoft bereit war, sie zu patchen.

Microsoft hat nun darauf reagiert, indem es seine Bug-Prämie für einen begrenzten Zeitraum verdoppelt hat, was bedeutet, dass Sicherheitsforscher bis zu 30,000 US-Dollar verdienen können, wenn sie vom 1. März bis zum 31. Mai 2017 einen schwerwiegenden Fehler in bestimmten Microsoft-Diensten finden.

Wenn von Forschern gefundene Fehler von Microsoft bezahlt würden, würde Microsoft mehr Kontrolle über den Offenlegungsprozess erhalten und es ihnen ermöglichen, selbst Korrekturen zu priorisieren, anstatt durch den 3-Monats-Zeitplan gezwungen zu werden, den die meisten unabhängigen Forscher vor der Veröffentlichung verwenden.

Microsoft bietet Prämien für Dienste in den folgenden Domänen an:

  • portal.office.com
  • outlook.office365.com
  • outlook.office.com
  • * .outlook.com
  • outlook.com

Die Gesamtliste umfasst 18 Domänen und weitere 37 berechtigte Endpunkte, die von der Standard-Bug-Prämie abgedeckt sind.

Microsoft möchte, dass Forscher nach neun verschiedenen Arten von Fehlern suchen, darunter:

  • Cross Site Scripting (XSS)
  • Cross-Site-Request-Forgery (CSRF)
  • Unbefugte mandantenübergreifende Datenmanipulation oder -zugriff (für mandantenfähige Dienste)
  • Unsichere direkte Objektreferenzen
  • Sicherheitslücken bei der Injektion
  • Authentifizierungsschwachstellen
  • Serverseitige Codeausführung
  • Privilegien Eskalation
  • Erhebliche Fehlkonfiguration der Sicherheit (wenn nicht vom Benutzer verursacht)

Während 30,000 US-Dollar nach viel klingen mögen, könnten Sicherheitsforscher viel mehr belohnt werden, wenn sie ihren Fund im Darknet verkaufen, berichtet Enterprise Times und stellt fest, dass eine Zero-Day-Schwachstelle bis zu 200,000 US-Dollar einbringen kann und dass Forscher noch mehr verdienen können, wenn sie sich entwickeln den Fehler und verkaufen ihn als Teil einer Malware-as-a-Service-Plattform. Das wäre natürlich höchst illegal.

Forscher, die nicht auf der dunklen Seite stehen, können mehr über das Kopfgeldsystem lesen bei Technet hier.

Mehr zu den Themen: Fehlerprämie, Microsoft, Sicherheitdienst, Zero Day Exploit

Surur Davids

Surur Davids Schild

Smartphone-Experte

Surur Davids ist der Gründer von WMPoweruser, aus dem später MSPoweruser.com wurde. Er ist ein Smartphone-Experte mit über einem Jahrzehnt Erfahrung.