Programa de Recompensas de Identidad de Microsoft

 

Descripción del Programa

La seguridad informática depende hoy en día de la comunicación colaborativa de las identidades y los datos de identidad dentro y entre los dominios. Expertos en cursos de protección de datos personales concuerdan en que la identidad digital de un cliente suele ser la clave para acceder a los servicios e interactuar a través de Internet.

Microsoft ha invertido mucho en la seguridad y la privacidad de sus soluciones de identidad de consumidores (cuenta de Microsoft) y empresas (Azure Active Directory). La empresa ha realizado grandes inversiones en la creación, implementación y mejora de especificaciones relacionadas con la identidad que fomentan la autenticación sólida, inicio de sesión seguro, seguridad de API y otras tareas críticas de infraestructura, como parte de la comunidad de expertos en estándares dentro de los organismos de estándares oficiales como IETF, W3C o OpenID Foundation. En reconocimiento de ese fuerte compromiso con la seguridad de los usuarios, Microsoft lanza su Programa de Recompensas de Identidad.

Si usted es un investigador de seguridad y ha descubierto una vulnerabilidad de seguridad en algún servicio de autenticación de identidad, Microsoft apreciaría su ayuda para compartirla con ellos de manera directa y darles la oportunidad de solucionarla antes de publicar los detalles técnicos. Además del compromiso de la empresa con los estándares de identidad de la industria, Microsoft se encuentra ampliando sus recompensas para este tipo de investigaciones.

Los informes elaborados para este programa de recompensas deben cumplir con un estándar de identidad completamente ratificado en el alcance de esta recompensa, además de cumplir con demás especificaciones.

¿Qué requiere su informe de vulnerabilidad para que sea elegible?

Este programa dirigido a expertos en seguridad informática y cursos de protección de datos personales busca informes de alta calidad que reflejen el nivel de su investigación. El objetivo debe ser compartir su conocimiento y experiencia con los desarrolladores e ingenieros de Microsoft para que puedan comprender y reproducir sus hallazgos de manera rápida y eficiente, de tal forma que se pueda corregir la vulnerabilidad.

Los informes de vulnerabilidades provistos a Microsoft deben cumplir los siguientes criterios para ser elegibles para el pago de recompensas:

  • Identificar una vulnerabilidad crítica o importante, que nunca haya sido denunciada y que se reproduzca en los servicios de identidad de Microsoft que se enumeran dentro del alcance
  • Identificar una vulnerabilidad original y no reportada anteriormente que resulte en la toma de control de una cuenta de Microsoft o una cuenta de Azure Active Directory
  • Identificar una vulnerabilidad original y no reportada previamente en los estándares OpenID listados o con el protocolo implementado en los productos, servicios o bibliotecas certificadas de Microsoft.
  • Que funcione contra cualquier versión de la aplicación Microsoft Authenticator, pero las recompensas sólo se pagarán si el error se reproduce en la versión más reciente disponible para el público.
  • Incluir una descripción del problema y pasos concisos para su ejecución de una manera fácil de entender.
  • Describir el impacto de la vulnerabilidad
  • Describir un vector de ataque en caso de que este no sea obvio

Alcance

  • login.windows.net
  • login.microsoftonline.com
  • login.live.com
  • account.live.com
  • account.windowsazure.com
  • account.activedirectory.windowsazure.com
  • credential.activedirectory.windowsazure.com
  • portal.office.com
  • passwordreset.microsoftonline.com
  • Microsoft Authenticator (aplicaciones de Android y iOS)*

¿Cómo están establecidas las recompensas?

Las recompensas por cada proyecto enviado entran en un rango de entre 500 hasta 100 mil dólares. Se otorgan pagos más altos según la calidad del informe y el impacto de seguridad de la vulnerabilidad. Se alienta a los investigadores de seguridad a proporcionar la mayor cantidad de datos en el momento de la presentación para que sean más propensos al pago más alto posible. Normalmente se otorgan cantidades más bajas por vulnerabilidades que requieren demasiada interacción del usuario para su explotación.

  • Si se reciben múltiples informes de errores para el mismo problema de diferentes partes, la recompensa se otorgará al informe que sea enviado primero.
  • El primer informe externo recibido sobre un problema conocido internamente recibirá un máximo del 10% del pago máximo.
  • Si un informe duplicado proporciona a Microsoft nueva información que antes era desconocida, se otorgará un pago diferencial al informe duplicado.
  • Si un informe es potencialmente elegible para múltiples programas de recompensas, recibirá el pago más alto de un sólo programa de recompensas.
  • Microsoft se reserva el derecho de rechazar cualquier pago a un proyecto que no cumpla con los estándares establecidos.

Rango de Pagostablawindows

Un informe de alta calidad proporciona la información necesaria para que un ingeniero reproduzca, comprenda y solucione rápidamente el problema. Esto incluye una redacción concisa que contiene cualquier información de fondo requerida, una descripción del error y una prueba de concepto.

Muchos de los sitios de Microsoft comparten una plataforma común. Debido a esto, una vulnerabilidad informada en un dominio puede existir en otro dominio si el problema existe en la plataforma compartida. Por ejemplo, un problema reportado para account.microsoft.com también puede presentarse exactamente de la misma manera en account.microsoft.co.uk y el problema se resolverá en ambos sitios con la misma solución. La empresa solicita a los investigadores en seguridad informática y cursos de protección de datos personales confirmar esto primero, e incluir las otras ubicaciones vulnerables en un sólo informe en lugar de enviar varios informes. En estos casos, la empresa tratará el error como un solo informe, mientras que los reportes siguientes serán tratados como duplicados.

¿Cómo crear cuentas de prueba para realizar informes elegibles para el programa de recompensas?

Debe crear cuentas de prueba y probar inquilinos para realizar pruebas de seguridad.

Para los servicios de Azure, puede iniciar una versión de prueba gratuita para usarla como su cuenta de prueba aquí: https://azure.microsoft.com/en-us/free/

Para la cuenta de Microsoft, puede configurar su cuenta de prueba aquí: http://signup.live.com/

En todos los casos, cuando sea posible, incluya la cadena “MSOBB” en el nombre de su cuenta y/o el nombre del inquilino para identificar que esté en uso para el programa de bonificación de errores.

Para mayores consultas sobre este programa y sus reglas, puede comunicarse con bounty@microsoft.com.

NOTA: Microsoft no puede predeterminar posibles pagos antes del envío oficial de un informe de  vulnerabilidad.