Microsoft betaalt nu voor een beperkte tijd tot $ 30,000 voor bug bounty hunters

Home » Microsoft

Pictogram voor leestijd 2 minuut. lezen

Kalender pictogram Uitgegeven op

by Surur Davids 

gepubliceerd op

deel dit artikel

Lezers helpen MSpoweruser ondersteunen. We kunnen een commissie krijgen als u via onze links koopt. Tooltip-pictogram

Lees onze openbaarmakingspagina om erachter te komen hoe u MSPoweruser kunt helpen het redactieteam te ondersteunen Lees meer

De afgelopen weken heeft Google Microsoft twee keer in verlegenheid gebracht door informatie over beveiligingsproblemen in Windows 10 vrij te geven voordat Microsoft klaar was om ze te patchen.

Microsoft heeft nu gereageerd door hun bug bounty voor een beperkte periode te verdubbelen, wat betekent dat beveiligingsonderzoekers van 30,000 maart tot 1 mei 31 tot $ 2017 kunnen verdienen als ze een ernstige bug in bepaalde Microsoft-services vinden.

Als er bugs worden gevonden door onderzoekers die door Microsoft zijn betaald, zou Microsoft meer controle krijgen over het openbaarmakingsproces en hen in staat stellen zelf prioriteit te geven aan oplossingen, in plaats van gedwongen te worden door het schema van drie maanden dat de meeste onafhankelijke onderzoekers gebruiken voordat ze openbaar worden gemaakt.

Microsoft biedt beloningen voor services op de volgende domeinen:

  • portal.office.com
  • outlook.office365.com
  • Outlook.office.com
  • * .outlook.com
  • outlook.com

De totale lijst bevat 18 domeinen en nog eens 37 in aanmerking komende eindpunten die onder de standaard bug bounty vallen.

Microsoft wil dat onderzoekers naar negen verschillende soorten bugs zoeken, waaronder:

  • Cross-site scripting (XSS)
  • Vervalsing van verzoeken op verschillende locaties (CSRF)
  • Ongeautoriseerde gegevensmanipulatie of toegang door meerdere tenants (voor services met meerdere tenants)
  • Onveilige verwijzingen naar directe objecten
  • Injectie kwetsbaarheden
  • Verificatie kwetsbaarheden
  • Uitvoering van code aan serverzijde
  • Privilege-escalatie
  • Aanzienlijke verkeerde configuratie van de beveiliging (indien niet veroorzaakt door de gebruiker)

Hoewel $ 30,000 misschien veel klinkt, kunnen beveiligingsonderzoekers veel meer worden beloond door hun vondst op het Dark Net te verkopen, meldt Enterprise Times, en merkt op dat een Zero Day-kwetsbaarheid wel $ 200,000 kan opleveren en dat onderzoekers nog meer kunnen verdienen als ze de bug en verkoop deze als onderdeel van een Malware as a Service-platform. Dit zou natuurlijk zeer illegaal zijn.

Onderzoekers die niet aan de donkere kant zijn, kunnen meer lezen over het premiesysteem bij Technet hier.

Meer over de onderwerpen: bug-boedel, microsoft, veiligheid, zero-day exploit

Surur Davids

Surur Davids Schild

Smartphone-expert

Surur Davids is de oprichter van WMPoweruser, wat later MSPoweruser.com werd. Hij is een smartphone-expert met meer dan tien jaar ervaring.