Microsoft Bug Bountyの価格は、Office 365およびMicrosoftアカウントサービスの脆弱性を発見したセキュリティ研究者に対して最大30%値上げされます。
「これらの新しいシナリオベースの報奨金賞を通じて、研究者は顧客のプライバシーとセキュリティに最も大きな影響を与える可能性のある脆弱性に研究を集中することをお勧めします」とマイクロソフトセキュリティレスポンスセンター(MSRC)の発表が明らかにしました。
マイクロソフトバグバウンティの価格はいくらですか?
対象となるシナリオの提出に対して、賞は最大30%増加し、報告された脆弱性ごとに26,000ドルに達する可能性があります。 Microsoftは、「優先度が高い」と見なされない欠陥は、GeneralAwardsプログラムの下で引き続き報酬の対象となることに留意しました。
「報告された脆弱性がハイインパクトシナリオの下で報奨金の対象とならない場合、それは一般賞の下で報奨金の対象となる可能性があります」と同社は言います。 脆弱性の重大度と影響、および提出物の品質に基づいて、マイクロソフトの裁量により、より高い賞が引き続き可能です。
賞の増加
- 信頼できない入力によるリモートコード実行(CWE-94「コード生成の不適切な制御(「コードインジェクション」)」)30.00%
- 信頼できない入力によるリモートコード実行(CWE-502「信頼できないデータの逆シリアル化」)30.00%
- 不正なテナント間およびID間の機密データ1の漏洩(CWE-200「不正なアクターへの機密情報の漏洩」)20.00%
- 不正なID間機密データ漏洩(CWE-488「誤ったセッションへのデータ要素の公開」)20.00%
- 認証(CWE-918「Server-SideRequest Forgery(SSRF)」)を15.00%バイパスする方法でリソースにアクセスする実際の攻撃で使用される可能性のある「混乱した代理」の脆弱性
まったく関係のないメモ:セキュリティ研究者でなくても、Microsoftからお金を稼ぐことができます。
Microsoftはまた、バグ報奨金プログラムを拡張して、Exchange、SharePoint、SkypeforBusinessを含めることを発表しました。 セキュリティ研究者は、ExchangeサーバーとSharePointサーバーの欠陥を発見して報告し、500ドルから26,000ドルの範囲の報酬を獲得できるようになりました。 重大度の乗数(15〜30%)に基づいて、バウンティハンターは脆弱性に対してより多くの支払いを受け取る可能性があります。
M365バウンティプログラムページには、報酬額、影響の大きい状況、および新しい範囲内ドメインリストに関する詳細情報が記載されています。