Microsoft、ユーザー認証サービスの脆弱性に関する報奨金プログラムを開始
タレコミ by headless
headless 曰く、
Microsoftは17日、ユーザー認証サービスの脆弱性に関する報奨金プログラムMicrosoft Identity Bounty Programを発表した(MSRCの記事、 Neowinの記事、 On MSFTの記事、 Softpediaの記事)。
報奨金の対象となるのはMicrosoftアカウントまたはAzure Active Directoryアカウントの乗っ取りが可能になる未発見・未報告の脆弱性や、OpenID標準関連の未発見・未報告の脆弱性など。報奨金額は500ドル~100,000ドルとなっている。
セキュリティへの影響が明確でないものや、ユーザーによるサービスの構成ミスが原因となっているもの、パスワードポリシー・アカウントポリシーに関するものなどは対象外となる。調査にあたっては、Microsoft従業員へのソーシャルエンジニアリング攻撃、DoSテスト、大量のトラフィックを生む自動化テスト、自分のアカウント以外への不正アクセスが禁じられる。
Microsoft、ユーザー認証サービスの脆弱性に関する報奨金プログラムを開始 More ログイン