Microsoft Bug Bounty-prijzen worden tot 30% verhoogd voor beveiligingsonderzoekers die kwetsbaarheden in Office 365 en Microsoft Account-services ontdekken.
“Via deze nieuwe, op scenario’s gebaseerde premies moedigen we onderzoekers aan om hun onderzoek te richten op kwetsbaarheden die de grootste potentiële impact hebben op de privacy en veiligheid van klanten”, aldus een aankondiging van Microsoft Security Response Center (MSRC).
Wat zijn Microsoft Bug Bounty-prijzen?
Prijzen stijgen met maximaal 30% voor in aanmerking komende scenario-inzendingen en kunnen oplopen tot $ 26.000 per gemelde kwetsbaarheid. Microsoft merkte op dat fouten die niet als “hoge prioriteit” worden beschouwd, nog steeds in aanmerking komen voor beloningen in het kader van het General Awards-programma.
“Als een gemelde kwetsbaarheid niet in aanmerking komt voor een premie onder de High Impact Scenario’s, komt deze mogelijk in aanmerking voor een premie onder Algemene Awards”, zegt het bedrijf. Hogere onderscheidingen zijn echter nog steeds mogelijk naar goeddunken van Microsoft, op basis van de ernst en impact van de kwetsbaarheid en de kwaliteit van de inzending.
Prijsverhogingen
- Uitvoering van externe code via niet-vertrouwde invoer (CWE-94 “Improper Control of Generation of Code (‘Code Injection’)”) met 30,00%
- Uitvoering van externe code via niet-vertrouwde invoer (CWE-502 “Deserialisatie van niet-vertrouwde gegevens”) met 30,00%
- Ongeautoriseerde lekkage van gevoelige gegevens tussen huurders en identiteiten1 (CWE-200 “Blootstelling van gevoelige informatie aan een niet-geautoriseerde actor”) met 20,00%
- Ongeautoriseerde gegevenslekkage van identiteitsgevoelige gegevens (CWE-488 “Exposure of Data Element to Wrong Session”) met 20,00%
- “Confused deputy”-kwetsbaarheden die kunnen worden gebruikt bij een praktische aanval die toegang heeft tot bronnen op een manier die authenticatie omzeilt (CWE-918 “Server-Side Request Forgery (SSRF)”) met 15,00%
Even een opmerking: je kunt nog steeds geld verdienen met Microsoft, zelfs als je geen beveiligingsonderzoeker bent!
Microsoft heeft ook aangekondigd dat het zijn bug bounty-programma’s heeft uitgebreid met Exchange, SharePoint en Skype voor Bedrijven. Beveiligingsonderzoekers kunnen nu fouten in Exchange- en SharePoint-servers ontdekken en rapporteren om beloningen te verdienen variërend van $ 500 tot $ 26.000. Op basis van ernstvermenigvuldigers (tussen 15 en 30%) kunnen premiejagers hogere uitbetalingen ontvangen voor kwetsbaarheden’.
De M365 Bounty-programma pagina biedt meer informatie over beloningsbedragen, situaties met grote impact en de nieuwe in-scope domeinenlijst.