Office 365 및 Microsoft 계정 서비스 취약점을 발견한 보안 연구원을 위해 Microsoft Bug Bounty 가격이 최대 30% 인상됩니다.
MSRC(Microsoft Security Response Center) 발표는 “이 새로운 시나리오 기반 현상금 상을 통해 연구원들이 고객 개인 정보 보호 및 보안에 가장 큰 잠재적 영향을 미치는 취약점에 대한 연구에 집중할 것을 권장합니다.”라고 밝혔습니다.
Microsoft 버그 바운티 가격은 얼마입니까?
보상은 적격한 시나리오 제출에 대해 최대 30%까지 증가하고 보고된 취약점당 $26,000에 도달할 수 있습니다. Microsoft는 “높은 우선 순위”로 간주되지 않는 결함이 일반 어워드 프로그램에 따라 보상을 받을 수 있다고 언급했습니다.
회사는 “보고된 취약점이 고영향 시나리오에서 포상금을 받을 자격이 없으면 일반 포상에서 포상을 받을 자격이 있을 수 있습니다.”라고 말합니다. Microsoft의 재량에 따라 취약점의 심각도와 영향, 제출 품질에 따라 더 높은 상을 받을 수도 있습니다.
보너스 증가
- 신뢰할 수 없는 입력을 통한 원격 코드 실행(CWE-94 “코드 생성의 부적절한 제어(‘코드 삽입’)”) 30.00%
- 신뢰할 수 없는 입력을 통한 원격 코드 실행(CWE-502 “신뢰할 수 없는 데이터의 직렬화 해제”) 30.00%
- 무단 교차 테넌트 및 교차 ID 민감한 데이터1 누출(CWE-200 “비인가 행위자에 대한 민감한 정보 노출”) 20.00%
- 무단 교차 ID 민감한 데이터 유출(CWE-488 “잘못된 세션에 대한 데이터 요소 노출”) 20.00%
- 인증(CWE-918 “SSRF(Server-Side Request Forgery)”)을 우회하는 방식으로 리소스에 접근하는 실제 공격에 15.00%까지 사용될 수 있는 “혼란된 대리인” 취약점
전혀 관련 없는 참고 사항: 보안 연구원이 아니더라도 Microsoft에서 계속 돈을 벌 수 있습니다!
Microsoft는 또한 Exchange, SharePoint 및 비즈니스용 Skype를 포함하도록 버그 바운티 프로그램을 확장했다고 발표했습니다. 보안 연구원은 이제 Exchange 및 SharePoint 서버의 결함을 발견하고 보고하여 $500에서 $26,000에 이르는 보상을 받을 수 있습니다. 심각도 승수(15~30%)에 따라 현상금 사냥꾼은 취약성에 대해 더 많은 보상을 받을 수 있습니다.
M365 바운티 프로그램 페이지는 보상 금액, 영향이 큰 상황 및 새로운 범위 내 도메인 목록에 대한 추가 정보를 제공합니다.