Η Microsoft θα πληρώσει τώρα έως και 30,000 $ για τους κυνηγούς επικηρυγμένων σφαλμάτων για περιορισμένο χρονικό διάστημα

Αρχική » Microsoft

Εικονίδιο ώρας ανάγνωσης 2 λεπτό. ανάγνωση

Εικονίδιο ημερολογίου Δημοσιεύθηκε στις

by Σουρούρ Ντέιβιντς 

Δημοσιεύθηκε στις

Μοιραστείτε αυτό το άρθρο

Οι αναγνώστες βοηθούν στην υποστήριξη του MSpoweruser. Ενδέχεται να λάβουμε προμήθεια εάν αγοράσετε μέσω των συνδέσμων μας. Εικονίδιο επεξήγησης εργαλείου

Διαβάστε τη σελίδα αποκάλυψης για να μάθετε πώς μπορείτε να βοηθήσετε το MSPoweruser να διατηρήσει τη συντακτική ομάδα Διάβασε περισσότερα

Τις τελευταίες εβδομάδες η Google έφερε σε δύσκολη θέση τη Microsoft δύο φορές δημοσιεύοντας πληροφορίες σχετικά με ευπάθειες ασφαλείας στα Windows 10 προτού η Microsoft είναι έτοιμη να τις διορθώσει.

Η Microsoft έχει τώρα ανταποκριθεί διπλασιάζοντας το bug bounty της για περιορισμένο χρονικό διάστημα, πράγμα που σημαίνει ότι οι ερευνητές ασφαλείας μπορούν να κερδίσουν έως και 30,000 $ εάν βρουν ένα σοβαρό σφάλμα σε ορισμένες υπηρεσίες της Microsoft από την 1η Μαρτίου έως τις 31 Μαΐου 2017.

Η εντόπιση σφαλμάτων από ερευνητές που πληρώνονται από τη Microsoft θα έδινε στη Microsoft περισσότερο έλεγχο στη διαδικασία αποκάλυψης και θα τους επέτρεπε να δώσουν προτεραιότητα στις επιδιορθώσεις οι ίδιοι, αντί να αναγκαστούν από το χρονοδιάγραμμα 3 μηνών που χρησιμοποιούν οι περισσότεροι ανεξάρτητοι ερευνητές πριν από τη δημόσια αποκάλυψη.

Η Microsoft προσφέρει ανταμοιβές για υπηρεσίες στους ακόλουθους τομείς:

  • portal.office.com
  • outlook.office365.com
  • outlook.office.com
  • *.outlook.com
  • outlook.com

Η συνολική λίστα περιλαμβάνει 18 τομείς και άλλα 37 επιλέξιμα τελικά σημεία που καλύπτονται από την τυπική επιβράβευση σφαλμάτων.

Η Microsoft θέλει οι ερευνητές να αναζητήσουν εννέα διαφορετικούς τύπους σφαλμάτων, όπως:

  • Σενάρια μεταξύ ιστοτόπων (XSS)
  • Παραχάραξη αιτημάτων διασταυρούμενης τοποθεσίας (CSRF)
  • Μη εξουσιοδοτημένη παραβίαση ή πρόσβαση δεδομένων μεταξύ των ενοικιαστών (για υπηρεσίες πολλών ενοικιαστών)
  • Μη ασφαλείς άμεσες αναφορές αντικειμένων
  • Ευπάθειες εγχύσεων
  • Τρωτά σημεία ελέγχου ταυτότητας
  • Εκτέλεση κώδικα από την πλευρά του διακομιστή
  • Κλιμάκωση προνομίων
  • Σημαντική εσφαλμένη διαμόρφωση ασφαλείας (όταν δεν προκαλείται από τον χρήστη)

Αν και τα 30,000 δολάρια μπορεί να ακούγονται πολλά, οι ερευνητές ασφαλείας μπορεί να ανταμειφθούν πολύ περισσότερο πουλώντας το εύρημα τους στο Dark Net, αναφέρει η Enterprise Times, σημειώνοντας ότι μια ευπάθεια Zero Day μπορεί να φτάσει τα 200,000 δολάρια και ότι οι ερευνητές μπορούν να κερδίσουν ακόμη περισσότερα εάν αναπτύξουν το σφάλμα και πουλήστε το ως μέρος μιας πλατφόρμας Malware as a Service. Αυτό φυσικά θα ήταν άκρως παράνομο.

Οι ερευνητές που δεν είναι στη σκοτεινή πλευρά μπορούν να διαβάσουν περισσότερα για το σύστημα επιβράβευσης στο Technet εδώ.

Περισσότερα για τα θέματα: bug bountry, microsoft, ασφάλεια, μηδενική εκμετάλλευση ημέρας

Σουρούρ Ντέιβιντς

Σουρούρ Ντέιβιντς Ασπίδα

Εμπειρογνώμονας smartphone

Ο Surur Davids είναι ο ιδρυτής του WMPoweruser που αργότερα έγινε MSPoweruser.com. Είναι ειδικός στα smartphone με πάνω από μια δεκαετία εμπειρίας.