Microsoft inicia un nuevo programa de recompensas para sus servicios de identificación
Microsoft anunció ayer el lanzamiento de un nuevo programa de recompensas por hallar fallos de software y problemas de seguridad en sus servicios de identificación.
La seguridad depende hoy de la colaboración entre entidades, más si tenemos en cuenta que los datos de identificación se utilizan entre dominios y suelen ser clave para poder acceder a servicios e interaccionar a través de Internet a muchos niveles. Microsoft ha dicho que está invirtiendo mucho en la “creación, implementación y mejora de las especificaciones relacionadas con la identidad” para impulsar “una autenticación fuerte, acceso seguro, sesiones, API de seguridad y otras tareas que involucran a infraestructuras críticas.”
Debido a los nuevos frentes abiertos por este campo, el gigante de Redmond ha tomado la decisión de iniciar un programa de recompensas independiente. Llamado Microsoft Identity Bounty Program, abarca las soluciones de identificación de Microsoft Account y Azure Active Directory, así como algunas implementaciones de las especificaciones de OpenID. Las recompensas van de los 500 hasta los 100.000 dólares dependiendo de la gravedad del fallo o vulnerabilidad, que tendrá que ser reportado de forma privada a la compañía.
Para participar en el programa de recompensas se tendrá que reportar presentaciones de alta calidad que reflejen la investigación llevada a cabo y que ha derivado en el descubrimiento del fallo o vulnerabilidad, además de compartir el conocimiento y la experiencia con los desarrolladores e ingenieros de Microsoft para que estos últimos pueda reproducir, entender y solucionar el problema en la mayor brevedad posible.
Los que estén interesados en participar en este programa de recompensas tienen que leer atentamente los criterios impuestos por la compañía y los dominios y aplicaciones que abarca. Las recompensas, según el tipo de fallo o vulnerabilidad descubierto, son las siguientes:
No es la primera vez que Microsoft impulsa un programa de recompensa por separado, ya que en anteriores ocasiones puso en marcha otros que abarcan las vulnerabilidades de ejecución especulativa y fallos en sus productos de software tanto para usuarios finales (clientes) como servidores.
Fuente: The Hacker News
Via: www.muyseguridad.net