Microsoft zahlt für Bugs in seinen Online-Diensten

Microsoft erweitert sein Angebot an Prämien, die an Bug-Finder ausschüttet werden. Mindestens 500 US-Dollar zahlt das Unternehmen für Schwachstellen, die in Diensten wie Office 365 oder outlook.com gefunden und im Vertrauen an Microsoft gemeldet werden.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 18 Beiträge
Von
  • Uli Ries

Microsoft erweitert sein bisher auf die Mitigation Bypass Bounty (Umgehen von Schutzmechanismen wie DEP, bis zu 100.000 US-Dollar) und den BlueHat Bonus for Defense (Konzipieren einer neuartigen Abwehrtechnik, bis zu 50.000 US-Dollar) beschränktes Angebot an Bug-Prämien. Das Online Services Bug Bounty Program fordert Sicherheitsexperten auf, Lücken in Microsofts Online-Diensten wie Office 365 zu suchen und im Vertrauen an Microsoft zu melden (Responsible Disclosure).

Mindestens 500 US-Dollar zahlt Microsoft an den Entdecker aus, wenn die gefundene Lücke den Anforderungen entspricht und der Entdecker die Lücke durch nachvollziehbare Schritte dokumentieren kann. Je kritischer der Bug, desto höher das "Kopfgeld" (Bounty). Es ist, mit Ausnahme einer kurzzeitigen Prämienvergabe für Bugs im Internet Explorer 11, das erste Programm dieser Art von Microsoft, dass einzelne Produkte in den Fokus rückt. Der Konzern hat bislang für solche Meldungen kein Geld ausgeschüttet, sondern seinen Dank in Form von Nennungen der Bug-Finder in den monatlichen Sicherheitsbulletins ausgedrückt.

Das Programm konzentriert sich auf Schwachstellen wie Cross Site Scripting (XSS), Cross Site Request Forgery (CSRF), Lücken in Anmeldeprozeduren oder unerlaubte Rechteerhöhung. Eine vollständige Liste aller zur Bug Bounty-Programm gehörenden Dienste beziehungsweise Domains und der zu suchenden Bug-Klassen findet sich in der ausführlichen Beschreibung des Prämien-Programms. Dort findet sich auch eine Aufstellung, welche Bugs nicht mit einer Zahlung bedacht werden (beispielsweise DoS-Möglichkeiten oder Cookie-Replay-Lücken). Sicherheitsspezialisten, die sich auf Bug-Suche machen wollen, sollten der FAQ zufolge davon absehen, Denial-of-Service-Tests zu unternehmen oder sich Daten von anderen Nutzern der Dienste zu bemächtigen. (rei)