17 जुलाई मंगलवार कोवें, माइक्रोसॉफ्ट ने इसकी घोषणा की पहचान बाउंटी कार्यक्रम बग शोधकर्ताओं और शिकारियों के लिए एक प्रीमियम इनाम देता है जो अपनी पहचान सेवाओं में सुरक्षा संबंधी किसी भी कमजोरियों की खोज करते हैं।
फिलिप मिसनर के अनुसार Microsoft सुरक्षा प्रतिक्रिया केंद्र के प्रमुख सुरक्षा समूह प्रबंधक, Microsoft ने अपने उपभोक्ता और उद्यम पहचान समाधानों की गोपनीयता और सुरक्षा में भारी निवेश किया है और मजबूत प्रमाणीकरण, सत्रों में सुरक्षित संकेत, एपीआई सुरक्षा और ऐसे महत्वपूर्ण बुनियादी ढांचे से संबंधित कार्यों के निरंतर सुधार पर ध्यान केंद्रित किया है। उन्होंने टिप्पणी की, 'हमने मानकों के विशेषज्ञों के समुदाय के हिस्से के रूप में मजबूत प्रमाणीकरण, सुरक्षित साइन-ऑन, सत्र, एपीआई सुरक्षा और अन्य महत्वपूर्ण बुनियादी ढांचे के कार्यों के निर्माण, कार्यान्वयन और पहचान से संबंधित विशिष्टताओं में सुधार किया है। आधिकारिक मानक निकायों जैसे IETF, W3C, या OpenID Foundation के भीतर। ”
यह कार्यक्रम यह सुनिश्चित करने के लिए शुरू किया गया है कि यह महत्वपूर्ण तकनीक उपयोगकर्ताओं के लिए यथासंभव सुरक्षित रहे। यह बग और सुरक्षा शोधकर्ताओं को Microsoft को पहचान सेवाओं में कमजोरियों का खुलासा करने का मौका प्रदान करता है। यह कंपनी को अपने तकनीकी विवरणों के प्रकाशन से पहले समस्या को हल करने की अनुमति देगा।
भुगतान विवरण
इस इनाम कार्यक्रम के लिए भुगतान $ 500 से $ 100,000 तक होगा जो शोधकर्ताओं ने बग के प्रभाव पर निर्भर करता है।
| उच्च गुणवत्ता सबमिशन | बेसलाइन क्वालिटी सबमिशन | अधूरा सबमिशन | |
| महत्वपूर्ण प्रमाणीकरण बायपास | $ 40,000 तक | $ 10,000 तक | $ 1,000 से |
| बहु कारक प्रमाणीकरण बायपास | $ 100,000 तक | $ 50,000 तक | $ 1,000 से |
| मानक डिजाइन कमजोरियों | $ 100,000 तक | $ 30,000 तक | $ 2,500 से |
| मानक आधारित कार्यान्वयन कमजोरियां | $ 75,000 तक | $ 25,000 तक | $ 2,500 से |
| क्रॉस-साइट स्क्रिप्टिंग (XSS) | $ 10,000 तक | $ 4,000 तक | $ 1,000 से |
| क्रॉस-साइट अनुरोध क्षमा (CSRF) | $ 20,000 तक | $ 5,000 तक | $ 500 से |
| प्राधिकरण फ्लैव | $ 8,000 तक | $ 4,000 तक | $ 500 से |
एक योग्य प्रस्तुत करने के लिए मानदंड
Microsoft को भेजी गई भेद्यता प्रस्तुतियाँ होनी चाहिए दिए गए मानदंडों को पूरा करें :
- एक मूल और पहले से अप्रमाणित महत्वपूर्ण या महत्वपूर्ण भेद्यता की पहचान करें जो हमारी Microsoft पहचान सेवाओं में पुन: उत्पन्न होती है जो कि दायरे में सूचीबद्ध हैं।
- Microsoft खाता या Azure सक्रिय निर्देशिका खाता लेने के परिणामस्वरूप होने वाली मूल और पूर्व अप्रमाणित भेद्यता को पहचानें।
- सूचीबद्ध OpenID मानकों में या हमारे प्रमाणित उत्पादों, सेवाओं, या पुस्तकालयों में लागू प्रोटोकॉल के साथ एक मूल और पहले से अप्राप्त भेद्यता को पहचानें।
- Microsoft प्रमाणक एप्लिकेशन के किसी भी संस्करण के खिलाफ सबमिट करें, लेकिन इनाम पुरस्कार केवल तभी भुगतान किया जाएगा जब बग नवीनतम, सार्वजनिक रूप से उपलब्ध संस्करण के खिलाफ पुन: पेश करता है।
- समस्या का वर्णन शामिल करें और आसानी से समझ में आने वाले प्रतिलिपि प्रस्तुत करने योग्य चरणों को संक्षिप्त करें। (यह सबमिशन को जितनी जल्दी हो सके संसाधित करने की अनुमति देता है और बताया जा रहा है कि भेद्यता के प्रकार के लिए उच्चतम भुगतान का समर्थन करता है।)
- भेद्यता के प्रभाव को शामिल करें
- यदि स्पष्ट नहीं है तो एक हमला वेक्टर शामिल करें
- मोबाइल अनुप्रयोगों के लिए, भेद्यता अनुसंधान को मोबाइल ओएस और ऐप के नवीनतम और अद्यतन संस्करण पर पुन: प्रस्तुत किया जाना चाहिए।
इसके अलावा, खोजा गया बग निम्नलिखित में से किसी एक उपकरण को प्रभावित करेगा:
- windows.net
- microsoftonline.com
- live.com
- live.com
- windowsazure.com
- activedirectory.windowsazure.com
- activedirectory.windowsazure.com
- office.com
- microsoftonline.com
- Microsoft प्रमाणक (iOS और Android एप्लिकेशन) *
- OpenID फाउंडेशन - OpenID कनेक्ट परिवार
- ओपेनआईडी कनेक्ट कोर
- ओपेनआईडी कनेक्ट डिस्कवरी
- OpenID कनेक्ट सत्र
- OAuth 2.0 मल्टीपल रिस्पांस टाइप
- OAuth 2.0 फॉर्म पोस्ट प्रतिक्रिया प्रकार
कार्यक्रम समझ में आता है, यह देखते हुए कि दुनिया भर में इसके लाखों पंजीकृत उपयोगकर्ता हैं।
कार्यक्रम पर अधिक विवरण जिसमें भुगतान मानदंड, निषिद्ध अनुसंधान सुरक्षा विधियां और अयोग्य प्रस्तुतियाँ के लिए मानदंड प्राप्त किए जा सकते हैं यहाँ ।
टैग माइक्रोसॉफ्ट
