Microsoft schickt Bug-Jäger in die Cloud
Ab sofort können sich Sicherheitsforscher in Azure DevOps austoben und für entdeckte Sicherheitslücken bis zu 20.000 US-Dollar kassieren.
(Bild: wynpnt)
Der Soft- und Hardwarehersteller Microsoft hat sein Bug-Bounty-Programm um den Cloud-Service Azure DevOps ausgebaut. Dort können sich Entwickler für Code-Projekte zusammenschließen. Wer sich an die Spielregeln von Microsoft hält, in der Plattform eine Sicherheitslücke entdeckt und meldet, kann eine Belohnung von 500 bis 20.000 US-Dollar verdienen.
Konkret stehen AzureDevOps Services (früher bekannt als Visual Studio Team Services) und die aktuellen Versionen von Azure DevOps Server und Team Foundation Server, kündigt Microsoft in einem Beitrag an.
Nachvollziehbare Fehlermeldung
Voraussetzungen für eine valide Meldung von Schwachstellen sind: Die entdeckte Lücke ist neu und das Ausnutzen muss durch gängige Browser möglich sein. Außerdem müssen Sicherheitsforscher das Angriffsszenario verständlich beschreiben, sodass Microsoft-Techniker den Sachverhalt zügig nachvollziehen können. Wie ein vorbildlicher Fehlerbericht aussieht, zeigt Microsoft auf einer Website auf.
Je nach Schweregrad der Lücke zahlt Microsoft bis zu 20.000 US-Dollar. Dieser Betrag gilt nur, wenn der Report qualitativ hochwertig ist und es sich um eine gefährliche Remote-Code-Execution-Lücke handelt. In so einem Fall könnten Angreifer unter Umständen die Cloud-Server übernehmen. DoS-Lücken deckt das Bug-Bounty-Programm hingegen nicht ab.
Bug-Jäger seit Jahren gefragt
Mitte 2013 startete Microsoft ein erstes Bug-Bounty-Programm. Dabei stehen Windows-Systeme im Vordergrund. Die höchste Belohnung von 250.000 US-Dollar winkt Sicherheitsforschern, die Microsoft Exploit-Code zum Ausführen von Schadcode in der Virtualisierungstechnik Hype-V liefern. Die aktiven Bug-Bounty-Programme listet Microsoft in einem Beitrag auf. (des)
