Microsoft zahlt Prämien für Sicherheitslücken

Bug-Bounty-Programm für MS-Konten und Azure AD

| Autor / Redakteur: Thomas Joos / Peter Schmitz

Microsoft-Konten und Azure Active Directory sollen sicherer werden. Deshalb zahlt das Unternehmen in einem neuen Bug-Bounty-Programm Prämien für gefundene Sicherheitslücken.
Microsoft-Konten und Azure Active Directory sollen sicherer werden. Deshalb zahlt das Unternehmen in einem neuen Bug-Bounty-Programm Prämien für gefundene Sicherheitslücken. (Bild: Microsoft)

Microsoft zahlt Prämien an denjenigen, der eine Sicherheitslücke in den Identitätsdiensten des Software-Herstellers findet. Dadurch sollen Microsoft-Konten und Azure Active Directory sicherer werden. Auch bei der Implementierung von OpenID wird eine Prämie gezahlt, wenn eine Sicherheitslücke entdeckt wird.

Phillip Misner, Leiter der Sicherheitsgruppe, hat zugesagt, dass Sicherheitsforscher zwischen 500 und 100.000 US-Dollar erhalten sollen, wenn eine Sicherheitslücke in Azure Active Directory oder dem Authentifizierungsdienst von Microsoft-Konten entdeckt wird.

Mit diesem Bug-Bounty-Programm sollen Sicherheitslücken schneller gefunden und behoben werden. Damit das Geld ausgezahlt wird, muss die Authentifizierung auf folgenden Seiten gehackt werden:

Die Prämie wird also ausgezahlt, wenn private Dienste gehackt werden, oder die kommerziellen Authentifizierungsdienste von Azure Active Directory.

Kann durch die gefundene Sicherheitslücke die Anmeldung an einem Microsoft-Konto oder an Azure Active Directory kompromittiert werden, zahlt Microsoft das Geld aus. Allerdings muss die Schwachstelle für die neuste verfügbare Version reproduzierbar sein.

Lassen sich also Microsoft Identity Services erfolgreich angreifen und handelt es sich dabei um eine bisher nicht gemeldete Schwachstelle, die zur Übernahme eines Microsoft-Kontos oder eines Azure Active Directory-Kontos führt, zählt der Angriff für Microsoft als erfolgreich.

Identifiziert man eine ursprüngliche und bisher nicht gemeldete Schwachstelle in OpenID-Standards oder mit dem in zertifizierten Produkten, Diensten oder Bibliotheken implementierten Protokollen für OpenID, werden ebenfalls Prämien ausgezahlt.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 45413091 / Sicherheitslücken)