Компания Microsoft объявила о запуске программы вознаграждений за обнаружение уязвимостей в своих облачных сервисах, входящих в экосистему Microsoft 365 (M365). Программа направлена на привлечение исследователей со всего мира для поиска и reporting уязвимостей в ключевых продуктах и сервисах Microsoft. За успешные находки исследователи могут получить вознаграждение от 500 долларов до 27,000, а в некоторых случаях — даже больше, в зависимости от серьезности и влияния обнаруженной уязвимости.
Программа охватывает такие сервисы, как Office 365 и Microsoft Account. Также рассматриваются уязвимости в других облачных продуктах, таких как Azure, Azure DevOps, Microsoft Dynamics 365 и сервисах, связанных с Microsoft Identity. Если исследователь не уверен, к какой программе относится его находка, Microsoft сама перенаправит отчет в нужное подразделение.
Программа нацелена на обнаружение серьезных технических уязвимостей, которые могут повлиять на безопасность пользователей. Критерии для получения вознаграждения включают:
Обнаружение ранее неизвестной уязвимости.
Уязвимость должна иметь уровень серьезности Critical или Important по классификации Microsoft.
Предоставление четких и воспроизводимых шагов для воссоздания проблемы.
Размер вознаграждения зависит от типа уязвимости, ее серьезности и качества отчета. Например:
За уязвимости, связанные с десериализацией ненадежных данных, можно получить до $15,000.
За SQL Injection или Command Injection — до $10,000.
За Cross-Site Scripting (XSS) — до $6,000.
В рамках специального события Zero Day Quest вознаграждения за высокоуровневые сценарии могут быть увеличены на 50%.
Microsoft устанавливает строгие правила для тестирования:
Запрещено получать доступ к данным, не принадлежащим исследователю.
Запрещено проводить тестирование на отказ в обслуживании (DoS).
Запрещено использовать фишинг или социальную инженерию против сотрудников Microsoft.
Отчеты об уязвимостях принимаются через портал MSRC (Microsoft Security Response Center). Если несколько исследователей сообщают об одной и той же уязвимости, вознаграждение получает тот, кто первым отправил отчет. Однако, если дублирующий отчет содержит новую информацию, Microsoft может выплатить дополнительное вознаграждение.
Для участия в программе стоит ознакомиться с правилами более подробно на сайте Microsoft.
