مایکروسافت روز سهشنبه اعلام کرد که در برنامهی جدید پاداش در ازای اشکال خود، به محققانی که آسیبپذیریهای جدی موجود در سرویسهای مختلف شناسایی این شرکت را کشف کنند، ۱۰۰ هزار دلار پرداخت خواهد کرد.
نفوذگران کلاه سفید درصورت کشف آسیبپذیریهای سرویسهای شناسایی مایکروسافت، نقصهای سرقت حسابهای کاربری مایکروسافت و Azure Active Directory، آسیبپذیریهای استانداردهای OpenID یا OAuth 2.0 و یا ضعفهای موجود در برنامههای احراز هویت مایکروسافت برای iOS و اندروید، میتوانند پاداشی به مبلغ ۵۰۰ تا ۱۰۰ هزار دلار دریافت کنند.
دامنههایی که تحت پوشش این برنامهی جدید پاداش در ازای اشکال قرار دارند، عبارتند از؛ login.windows.net، login.microsoftonline.com، login.live.com، account.live.com، account.windowsazure.com، account.activedirectory.windowsazure.com، credential.activedirectory.windowsazure.com، portal.office.com و passwordreset.microsoftonline.com.
بیشترین پاداش برای ارسال راههایی برای دور زدن احراز هویت چند عاملی یا طراحی آسیبپذیریهایی در استانداردهای احراز هویت استفاده شده توسط مایکروسافت پرداخت میشود. نفوذگرانی که نقصهای موجود در اجرای OpenID و OAuth را کشف کنند، ۷۵ هزار دلار پاداش دریافت خواهند کرد. کمترین پاداشها برای کشف آسیبپذیریهای XSS (10 هزار دلار)، احراز هویت (۸ هزار دلار) و افشای دادههای حساس (۵ هزار دلار) پرداخت میشود.
مایکروسافت در مورد برنامهی جدید خود توضیح میدهد: «یک گزارش باکیفیت، اطلاعات لازم برای بازسازی ، درک و وصله کردن یک اشکال را برای مهندس ارائه میکند. این گزارش معمولا شامل نوشتهای مختصر درمورد اطلاعات اولیهی مورد نیاز، توصیف اشکال و اثبات مفهومی میباشد. ما متوجه شدیم که بازسازی و درک برخی از آسیبپذیریها بسیار دشوار بوده و این موضوع، هنگام تصمیمگیری در مورد کیفیت گزارش ارائهشده، مورد توجه قرار خواهد گرفت.»
این غول فناوری درحال حاضر، چندین برنامهی پاداش در ازای اشکال را در دست اجرا دارد که برای گزارش تنها یک آسیبپذیری، صدها هزار دلار پرداخت خواهد کرد. این برنامهها عبارتند از؛ برنامهی اجرای احتمالی کانال جانبی که ۲۵۰ هزار دلار پرداخت میکند؛ برنامهی Hyper-V، که برای کشف آسیبپذیریهای Meltdown و Spectre راهاندازی شده و تا مبلغ ۲۵۰ هزار دلار پرداخت میشود؛ برنامهی پاداش برای دور زدن محافظتها که برای کشف روشهای جدید بهرهبرداری با وجود محافظتهای ویندوز، مبلغ ۱۰۰ هزار دلار پرداخت میکند؛ و برنامهی پاداش برای محافظت که برای دفاع در برابر روشهای جدید دور زدن محافظتها، مبلغ ۱۰۰ هزار دلار دیگر پرداخت میکند.