Microsoft heeft een bountyprogramma voor bugs, maar daar is nu een nieuw programma bijgekomen. Thuiswerktool Microsoft Teams heeft een eigen bugbountyprogramma, omdat het inmiddels zo groot is dat dat beter werkt.
Mensen die fouten tegenkomen in de software kunnen de Microsoft Teams-specifieke bug melden waar het gaat om de desktopvariant. De maximale uitbetaling is 30.000 dollar als het gaat om zwaktes die grote impact hebben op de privacy van klanten en de beveiliging. Vind je een ander type fout, dan kun je een minimale uitbetaling van 6.000 dollar verwachten, als deze wordt toegekend, schrijft ZDNet.
Bugbountyprogramma
Inmiddels zijn er dagelijks zo’n 115 miljoen mensen actief op Microsoft Teams, dus elke gevonden bug is enorm waardevol. Niet alleen voor de vinder, omdat de beloningen vrij goed zijn, maar ook voor Microsoft zelf. Waarom het programma niet van toepassing is op de mobiele apps of zelfs de browser-variant op een desktopcomputer, dat is onbekend. Je kunt alleen bugs melden die je in de desktop-client van Teams tegenkomt op een computer die draait op Windows 10, MacOS en Linux.
Een mailtje sturen met: x is een fout in Microsoft Teams, daarmee kom je er niet. Je moet duidelijk kunnen uitleggen wat de bug precies inhoudt door native code te gebruiken in de context van de gebruiker. Lukt het je overigens om een bug te vinden waarbij de aanvaller achter de inloggegevens van de gebruiker kan komen, dan kun je rekenen op zo’n 15.000 dollar. Phishing is hiervan echter uitgesloten.
Beloningen vanuit Microsoft
Is er een XSS (cross site scripting)-zwakte gevonden, dan kun je rekenen op zo’n 10.000 dollar als een hacker hierbij de mogelijkheid heeft om willekeurige scripts te draaien op teams.microsoft.com of teams.live.com zonder hiervoor de gebruiker nodig te hebben. Kun je dat niet vinden, maar wel een demonstratie geven van hoe je privileges kunt verhogen op een manier die over Windows heengaat, dan kun je ook 10.000 dollar verwachten.
De minimale beloning van 6.000 dollar wordt gegeven aan onderzoekers die een code-injectie of XSS kunnen vinden die de kopie verschaft om scripts uit te voeren op de servers van teams.microsoft.com of teams.live.com waarbij een gebruiker wel wat doet, maar slechts het minimale.
Tip: Microsoft Teams komt met nieuwe whiteboard-mogelijkheid
1 dag geleden
