Компания Microsoft учредила новую программу по выплате вознаграждений на найденные в online-сервисах уязвимости. Принять участие в программе смогут пользователи со всех стран мира, за исключением Кубы, Сирии и Северной Кореи. Минимальный бонус за обнаруженную брешь составит $500. Как сообщается на web-сайте Microsoft, размер премии будет варьироваться в зависимости от степени опасности обнаруженной уязвимости.
В перечень уязвимостей, указанных Microsoft входят межсайтовый скриптинг (cross-site scripting), межсайтовая подделка запроса (CSRF), несанкционированная межпользовательская манипуляция данными, уязвимость Insecure Direct Object References, ошибки внедрения кода, ошибки аутентификации, а также повышение привилегий и неправильная настройка средств защиты.
Как отмечает руководство компании, целью данной программы является обнаружение серьезных уязвимостей, которые ставят под угрозу безопасность конфиденциальных данных пользователей.
Тем не менее, в рамках программы запрещается определенная деятельность, например, тестирование DoS атак, осуществление автоматического тестирования сервисов, которые создают значительное количество трафика или получение доступа к данным, которые не являются собственностью пользователя.
Также Microsoft будет единолично принимать решение о предоставлении вознаграждения. В том случае, если об одной и той же уязвимости сообщат сразу несколько участников, премию получит первый сообщивший. Согласно условиям программы, принимать в ней участие могут пользователи не моложе 14 лет. Лица, не достигшие совершеннолетия, должны получить разрешение родителей или законных опекунов. Кроме того, в программе запрещается принимать участие сотрудникам Microsoft, а также членам их семей и родственникам. Вознаграждение полагается за уязвимости, обнаруженные в следующих доменах: portal.office.com, *.outlook.com, outlook.office365.com, login.microsoftonline.com, *.sharepoint.com,*.link.com,*.officeapps.live.com, api.yammer.com, adminwebservice.microsoftonline.com, provisioning.microsoftonline.com, graf.windows.net. (Microsoft/NovostIT)