Microsoft lanciert neues Bounty-Programm

Microsoft hat das "Identity Bounty Program" ins Leben gerufen. Es belohnt Sicherheitsforscher für das Finden, Melden und Beheben von Schwachstellen in Software mit 500 bis 100'000 US-Dollar.

Der Konzern sucht Sicherheitslücken für folgende Dienste:

• login.windows.net

• login.microsoftonline.com

• login.live.com

• account.live.com

• account.windowsazure.com

• account.activedirectory.windowsazure.com

• credential.activedirectory.windowsazure.com

• portal.office.com

• passwordreset.microsoftonline.com

• Microsoft Authenticator (App für iOS und Android)

• OpenID Connect Core

• OpenID Connect Discovery

• OpenID Connect Session

• OAuth 2.0 Multiple Response Types

• OAuth 2.0 Form Post Response Types

Microsoft unterteilt die Meldungen in "High Quality Submissions", "Baseline Quality Submissions" und "Incomplete Submissions". Es gibt Vorgaben für das Melden von Schwachstellen: Sie dürfen noch nicht bekannt sein, müssen reproduzierbar sein und im Falle von Microsoft Authenticator die neueste Version der App betreffen.

Mehr über die Initiative verrät Microsoft auf dieser Website. Wer Fragen zum Programm hat, kann sich an bounty@microsoft.com wenden.