headless 曰く、

Microsoftは17日、ユーザー認証サービスの脆弱性に関する報奨金プログラムMicrosoft Identity Bounty Programを発表した(MSRCの記事、 Neowinの記事、 On MSFTの記事、 Softpediaの記事)。

報奨金の対象となるのはMicrosoftアカウントまたはAzure Active Directoryアカウントの乗っ取りが可能になる未発見・未報告の脆弱性や、OpenID標準関連の未発見・未報告の脆弱性など。報奨金額は500ドル～100,000ドルとなっている。

セキュリティへの影響が明確でないものや、ユーザーによるサービスの構成ミスが原因となっているもの、パスワードポリシー・アカウントポリシーに関するものなどは対象外となる。調査にあたっては、Microsoft従業員へのソーシャルエンジニアリング攻撃、DoSテスト、大量のトラフィックを生む自動化テスト、自分のアカウント以外への不正アクセスが禁じられる。