Los programas de recompensas por encontrar errores son bastante comunes en empresas de todo tipo y tamaño. Con esto se evita que los posibles hackers que intenten buscar las cosquillas a nuestra web, servicio o producto y vendan esto agujeros a otras empresas. Con todo esto, la empresa consigue un sistema seguro una vez parcheado el problema, así como tener a miles de usuarios reportando errores y lo que es más importante para nosotros, recibiendo recompensas a cambio.
En el nuevo programa de recompensas por error de Microsoft, se limita el tipo de errores que están buscando, a saber:
- Cross Site Scripting (XSS)
- Cross Site Request Forgery (CSRF)
- Unauthorized cross-tenant data tampering or access (for multi-tenant services)
- Insecure direct object references
- Injection Vulnerabilities
- Authentication Vulnerabilities
- Server-side Code Execution
- Privilege Escalation
- Significant Security Misconfiguration
Sólo en los siguientes dominios:
- portal.office.com
- • * .outlook.com (Office 365 para aplicaciones de servicios de correo electrónico de negocios, excluyendo a cualquier servicio «outlook.com» de consumo general)
- outlook.office365.com • login.microsoftonline.com
- * .sharepoint.com – excluyendo el contenido generado por el usuario
- * .lync.com
- officeapps.live.com
- www.yammer.com
- api.yammer.com
- adminwebservice.microsoftonline.com
- provisioningapi.microsoftonline.com
- graph.windows.net
Hay varias reglas más que podemos ver pinchando aquí, en el apartado de términos y condiciones. Si llegamos a encontrar cualquier error, recibiremos mínimo 500 dólares estadounidenses.
Microsoft ha tenido un programa de recompensas de errores durante años pero se ha limitado a su software como Windows, Microsoft Office o Internet Explorer. Por lo tanto, este nuevo programa es una evolución del anterior.
