Teknoloji devi şirketler, çarşı pazar karışmadan sistemindeki açıkları keşfetmek ve kapatmak adına önemli yatırımlar yapıyor. Microsoft buna bir yenisini daha ekleyerek, güvenlik alanında deneyimli geliştiriciler ve araştırmacıların 100 bin dolara kadar ödül kazanabileceği bir Bug Bounty programı başlattı.
Microsoft’un Ana Güvenlik Grup Yöneticisi Phillip Misner tarafından Microsoft blogunda yayınlanan bir içerikle duyurulan program; özellikle kimlik doğrulama, güvenli oturum açma, API güvenliği, IETF, W3C gibi standartlar üzerine temellendirilmiş. “Identity Bounty Program” başlığı altında yer verilen etkinliğe katılan ve Microsoft’un Digital Identity Services’i (DIS) üzerinde başarılı bug bildiriminde bulunan hacker ve güvenlik araştırmacılarını, bildirdikleri açığın kritiklik seviyesi bazında 500 dolardan 100 bin dolara kadar farklı para ödülleri bekliyor olacak.
Bu kez etkinlik Microsoft Account kısmını ilgilendirirken, aynı zamanda kurumsal kısımda Azure Active Directory kimlik çözümlerini de kapsıyor. Microsoft, Identity Bounty program sayesinde sistem üzerindeki açıkları gizli şekilde araştırmak ve yaşanabilecek sorunların önüne geçmeyi planlıyor. Misner, “Eğer bir güvenlik analistiyseniz ve kimlik servislerimizde bir açık keşfederseniz, bu açığı bize gizlice bildirmeniz açığı teknik detaylar ortaya çıkmadan önce kapatma şansı sunacaktır” diyerek, açıkların gizlice Microsoft tarafına bildirilmesinin önemine de tekrardan vurgu yapıyor.
Microsoft’un Identity Bounty Program’ı kapsamında güvenlikçilerin ödül kazanması için bazı kriterleri de karşılaması gerekiyor. Örneğin bulunan açığın sadece Microsoft Kimlik servislerinde olması, daha önceden başka bir geliştirici tarafınca rapor edilmemiş olması, açığın güncel olması ve zararlı açık (vulnerability) statüsünde yer alması, kullanılan sistemlerin en güncel sürümlere sahip olması gibi temel şartlar var.
Bu ön kriterler içinde Microsoft yarışmanın geçerlilik kapsamı platformu listesine de yer veriyor. Buna göre güvenlikçilerin Identity Bounty Program kapsamında aşağıdaki platformları hedef alması bekleniyor:
- windows.net
- microsoftonline.com
- live.com
- live.com
- windowsazure.com
- activedirectory.windowsazure.com
- activedirectory.windowsazure.com
- office.com
- microsoftonline.com
- Microsoft Authenticator (iOS ve Android uygulamaları)
Daha önce de değindiğimiz üzere açık için yapılacak ödemeler açığın kritiklik seviyesi ve gönderilen teknik raporun detayları da göz önüne alınarak 500 dolardan başlayarak 100 bin dolar seviyelerine kadar çıkabiliyor. Hangi tip açıklara hangi seviyeden ödül verileceğine de etkinlik sayfasında detaylı olarak değiniliyor.
Microsoft güvenlikçilere yeterli araştırma imkanını sunmak adına Azure ve diğer servisleri için ücretsiz bir deneme hesabı da sunuyor. Programın diğer detayları, tam kapsamı ve yasal gereklilikler gibi ince detayları erişmek isterseniz, buradan Microsoft’un resmi sitesini ziyaret edebilirsiniz.
2017 yılı boyunca ardı ardına yaşanan veri ve sızma skandalları, dev şirketleri yetenekli geliştiricilerle bir arada çalışmaya teşvik ediyor. Microsoft’un hamlesi de bu bağlamda oldukça başarılı gibi. Ne dersiniz?