Microsoft vernieuwt bug bounty programma's

20-04-2022 | door: Wouter Hoeffnagel
Deel dit artikel:

Microsoft vernieuwt bug bounty programma's

Microsoft voegt een aantal nieuwe beloningen toe aan zijn bug bounty programma's voor Dynamics 365, Power Platform en Microsoft 365. Met scenario-gebaseerde beloningen wil Microsoft ethische hackers stimuleren zich te richten op kwetsbaarheden die een grote impact hebben op de privacy en veiligheid van klanten.

Het gaat specifiek om het Dynamics 365 and Power Platform Bounty Program en het M365 Bounty Program. Indien kwetsbaarheden die gerapporteerd worden kunnen worden ingezet voor specifieke scenario's, ontvangen ethische hackers een bonus tot 30% op hun beloning. Dit kan oplopen tot 26.000 dollar.

Het gaat om de volgende scenario's:

  • Remote code execution through untrusted input (CWE-94 “Improper Control of Generation of Code (‘Code Injection’)”) (+30%)
  • Remote code execution through untrusted input (CWE-502 “Deserialization of Untrusted Data”) (+30%)
  • Unauthorized Cross-tenant and cross-identity sensitive data leakage (CWE-200 “Exposure of Sensitive Information to an Unauthorized Actor”) (+20%)
  • Unauthorized cross-identity sensitive data leakage (CWE-488 “Exposure of Data Element to Wrong Session”) (+20%)
  • “Confused deputy” vulnerabilities that can be used in a practical attack that accesses resources in a way that bypasses authentication (CWE-918 “Server-Side Request Forgery (SSRF)”) (+15%)
Terug naar nieuws overzicht
Security