Microsoft ra mắt chương trình bug bounty cho các dịch vụ trực tuyến
Bug Bounty là chương trình trao thường của các tổ chức cho các nhà nghiên cứu, các hacker có các phát hiện bảo mật trên hệ thống và các sản phẩm của tổ chức đó. Chương trình này của Microsoft được áp dụng cho bất cứ ai và số tiền thưởng tối thiểu là 500$ tùy theo mức độ ảnh hưởng của lỗ hổng. ...
Bug Bounty là chương trình trao thường của các tổ chức cho các nhà nghiên cứu, các hacker có các phát hiện bảo mật trên hệ thống và các sản phẩm của tổ chức đó.
Chương trình này của Microsoft được áp dụng cho bất cứ ai và số tiền thưởng tối thiểu là 500$ tùy theo mức độ ảnh hưởng của lỗ hổng.
Điều kiện đủ để nhận thưởng bao gồm các loại lỗ hổng: cross-site scripting; CSRF; Phishing hoặc truy cập trái phép dữ liệu; insecure direct object references; lỗ hổng injection; lỗ hổng xác thực; server-side code execution; vượt quyền và thiết lập sai bảo mật.
Những dịch vụ trực tuyến áp dụng chương trình này bao gồm
- portal.office.com
- *.outlook.com (Office 365 dành cho doanh nghiệp, và người dùng có dịch vụ “outlook.com” )
- outlook.office365.com
- login.microsoftonline.com
- *.sharepoint.com
- *.lync.com
- *.officeapps.live.com
- www.yammer.com
- api.yammer.com
- adminwebservice.microsoftonline.com
- provisioningapi.microsoftonline.com
- graph.windows.net
Mục đích của chương trình bug bounty nhằm phát hiện ra các lỗ hổng bảo mật quan trọng có tác động trực tiếp và ảnh hưởng đến bảo mật dữ liệu người dùng. Một số hoạt động không được phép khi tham gia chương trình là các loại kiểm tra tấn công từ chối dịch vụ, thực hiện kiểm tra tự động các dịch vụ tạo ra lượng lớn lưu lượng hay chiếm quyền truy cập dữ liệu. Thêm vào đó, việc tạo trước một bản chứng minh (POC) tái tạo lại việc thực thi lỗ hổng server-side execution, lừa đảo hoặc các kĩ thuật tấn công mạng xã hội đối với nhân viên Microsoft đều bị cấm.
Số tiền thưởng sẽ được xác định theo mức độ đánh giá tác động của lỗ hổng do Microsoft đưa ra. Tuy nhiên về chi tiết, chất lượng và độ phức tạp của lỗ hổng cũng sẽ được đem ra để xem xét mức tiền thưởng. Microsoft toàn quyền trong việc xác định lỗ hổng có đủ điều kiện hay không. Mức thưởng tối thiểu là 500$ và không hạn chế số lượng đơn nộp do một cá nhân gửi lên và được tặng thưởng. Trong trường hợp chúng tôi nhận được nhiều báo cáo về cùng một lỗ hổng từ các tổ chức khác nhau, tiền thưởng sẽ được trao cho người đầu tiên nộp hồ sơ. Nếu bạn không muốn nhận tiền thưởng, Microsoft sẵn sàng làm việc với bạn để tặng cho một tổ chức từ thiện.
Người tham gia phải từ 14 tuổi trở lên và nếu chưa đủ vị thành niên phải được sự cho phép của gia đình hoặc người giám hộ. Ngoài ra các quốc gia theo lệnh trừng phạt của Mỹ như Cuba, Syria và Triều Tiên sẽ không được tham gia chương trình. Nhân viên của Microsoft và các thành viên trong gia đình cũng không được phép tham gia.
Thông tin chi tiết bạn có thể xem tại đây
