Microsoft hat ein weiteres Prämienprogramm gestartet, in dessen Rahmen es Finder neuer Sicherheitslücken in seinen Online-Diensten bezahlt. Den Anfang macht Office 365. Ab sofort erhalten Sicherheitsforscher, die noch nicht entdeckte Anfälligkeiten in der Online-Bürossoftware melden, mindestens 500 Dollar.
Microsoft entscheidet von Fall zu Fall, ob ein gemeldeter Bug den Richtlinien des Online Services Bug Bounty Program entspricht und sein Finder somit die Belohnung erhält. Zahlen will das Unternehmen beispielsweise für Hinweise auf folgende Arten von Sicherheitslücken: Cross Site Scripting (XSS), Cross Site Request Forgery (CSRF), Insecure Direct Object Reference, Injection- und Authentifizierungsfehler, serverseitige Codeausführung, Rechteausweitung und bedeutende Security-Fehlkonfigurationen.
In den Programmrichtlinien listet Microsoft auch die Domains auf, für die es Belohnungen auslobt. Zwar findet sich in der Liste auch outlook.com, aber nur als Teil der E-Mail-Services-Applikationen von Office 365 für Unternehmen. Die Consumer-Version von outlook.com ist ausdrücklich von den Prämienzahlungen ausgeschlossen.
Darüber hinaus zählt Microsoft einige nicht für das Programm qualifizierte Anfälligkeiten auf. Dazu zählt auch Denial of Service (DoS), das ernsthafte Folgen haben kann. Wahrscheinlich will Microsoft aber nicht zu DoS-Tests ermuntern.
Während der Entwicklung von Internet Explorer 11 hatte Microsoft ein ähnliches Prämienprogramm angeboten. Seit Mitte Juni 2013 zahlt es auch Belohnungen für Hinweise auf Techniken zur Umgehung von Sicherheitsfunktionen wie Address Space Layout Randomization (ASLR), das das Ausnutzen von Sicherheitslücken erschweren soll. Sie können sich auf bis zu 100.000 Dollar belaufen. Eine Übersicht über laufende und abgeschlossene Bug-Bounty-Programme findet sich auf Microsofts Technet-Website.
Außer Microsoft loben unter anderem auch Google und Facebook Prämien für Hinweise auf zuvor noch nicht entdeckte Sicherheitslücken in ihren Produkten aus. Im November letzten Jahres starteten die Unternehmen über die Organisation HackerOne sogar ein gemeinsames Sicherheitsbelohnungsprogramm namens Internet Bug Bounty. Die ausgeschriebenen Mindestpreisgelder betragen bis zu 5000 Dollar – allerdings abhängig von der Plattform, in der die gefundene Sicherheitslücke steckt.
[mit Material von Larry Seltzer, ZDNet.com]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Neueste Kommentare
Noch keine Kommentare zu Microsoft startet Sicherheitsprämienprogramm für Online-Dienste
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.