A Microsoft anunciou, nesta semana, um novo programa de recompensas para quem encontrar falhas em seus produtos. A empresa está oferecendo prêmios de até US$ 100 mil para quem encontrar vulnerabilidades de segurança em seus serviços de identidade.

A companhia afirma que investiu na criação, implementação e aprimoramento de especificações relacionadas à identidade de usuários que incentivam a ” autenticação, assinatura segura, sessões, segurança de APIs e outras tarefas críticas de infraestrutura”.

Conforme relata o The Hack News, os pagamentos para o novo Microsoft Identity Bounty Program variam de US$ 500 a US $ 100 mil, dependendo do tipo de falha, o seu impacto para o sistema e a qualidade do relatório apresentado. O novo programa de recompensas envolve as soluções de identidade de contas da Microsoft e do Azure Active Directory, bem como algumas implementações das especificações do OpenID.

A Microsoft ainda detalhou os critérios que devem ser atendidos para que os pesquisadores de segurança e hackers sejam elegíveis para receber o pagamento. Confira quais são:

• Identificar uma vulnerabilidade crítica ou importante, original e anteriormente não relatada, que se reproduza em nossos serviços do Microsoft Identity listados no escopo;
• Identificar uma vulnerabilidade original e não relatada anteriormente que resulte na aquisição de uma Conta da Microsoft ou uma conta do Azure Active Directory;
• Identificar uma vulnerabilidade original e não declarada anteriormente nos padrões OpenID listados ou com o protocolo implementado em nossos produtos, serviços ou bibliotecas certificados;
• Enviar erros sobre qualquer versão do aplicativo Microsoft Authenticator, mas as recompensas só serão pagas se o bug for relacionado à última versão disponível publicamente;
• Incluir uma descrição do problema e etapas de reprodutibilidade concisas que sejam facilmente compreendidas;
• Incluir o impacto da vulnerabilidade;
• Incluir um vetor de ataque se não for óbvio.