A Microsoft anunciou, nesta semana, um novo programa de recompensas para quem encontrar falhas em seus produtos. A empresa está oferecendo prêmios de até US$ 100 mil para quem encontrar vulnerabilidades de segurança em seus serviços de identidade.

A companhia afirma que investiu na criação, implementação e aprimoramento de especificações relacionadas à identidade de usuários que incentivam a ” autenticação, assinatura segura, sessões, segurança de APIs e outras tarefas críticas de infraestrutura”.

Conforme relata o The Hack News, os pagamentos para o novo Microsoft Identity Bounty Program variam de US$ 500 a US $ 100 mil, dependendo do tipo de falha, o seu impacto para o sistema e a qualidade do relatório apresentado. O novo programa de recompensas envolve as soluções de identidade de contas da Microsoft e do Azure Active Directory, bem como algumas implementações das especificações do OpenID.

A Microsoft ainda detalhou os critérios que devem ser atendidos para que os pesquisadores de segurança e hackers sejam elegíveis para receber o pagamento. Confira quais são:

  • Identificar uma vulnerabilidade crítica ou importante, original e anteriormente não relatada, que se reproduza em nossos serviços do Microsoft Identity listados no escopo;
  • Identificar uma vulnerabilidade original e não relatada anteriormente que resulte na aquisição de uma Conta da Microsoft ou uma conta do Azure Active Directory;
  • Identificar uma vulnerabilidade original e não declarada anteriormente nos padrões OpenID listados ou com o protocolo implementado em nossos produtos, serviços ou bibliotecas certificados;
  • Enviar erros sobre qualquer versão do aplicativo Microsoft Authenticator, mas as recompensas só serão pagas se o bug for relacionado à última versão disponível publicamente;
  • Incluir uma descrição do problema e etapas de reprodutibilidade concisas que sejam facilmente compreendidas;
  • Incluir o impacto da vulnerabilidade;
  • Incluir um vetor de ataque se não for óbvio.