Microsoft предлагает до $27,000 за уязвимости в M365

Компания Microsoft объявила о запуске программы вознаграждений за обнаружение уязвимостей в своих облачных сервисах, входящих в экосистему Microsoft 365 (M365). Программа направлена на привлечение исследователей со всего мира для поиска и reporting уязвимостей в ключевых продуктах и сервисах Microsoft. За успешные находки исследователи могут получить вознаграждение от 500 долларов до 27,000, а в некоторых случаях — даже больше, в зависимости от серьезности и влияния обнаруженной уязвимости.

Программа охватывает такие сервисы, как Office 365 и Microsoft Account. Также рассматриваются уязвимости в других облачных продуктах, таких как Azure, Azure DevOps, Microsoft Dynamics 365 и сервисах, связанных с Microsoft Identity. Если исследователь не уверен, к какой программе относится его находка, Microsoft сама перенаправит отчет в нужное подразделение.

Программа нацелена на обнаружение серьезных технических уязвимостей, которые могут повлиять на безопасность пользователей. Критерии для получения вознаграждения включают:

Обнаружение ранее неизвестной уязвимости.

Уязвимость должна иметь уровень серьезности Critical или Important по классификации Microsoft.

Предоставление четких и воспроизводимых шагов для воссоздания проблемы.

Размер вознаграждения зависит от типа уязвимости, ее серьезности и качества отчета. Например:

За уязвимости, связанные с десериализацией ненадежных данных, можно получить до $15,000.

За SQL Injection или Command Injection — до $10,000.

За Cross-Site Scripting (XSS) — до $6,000.

В рамках специального события Zero Day Quest вознаграждения за высокоуровневые сценарии могут быть увеличены на 50%.

Microsoft устанавливает строгие правила для тестирования:

Запрещено получать доступ к данным, не принадлежащим исследователю.

За