Microsoft Bug Bounty Program anche per Office 365

Microsoft ha esteso il suo programma dedicato ai ricercatori di sicurezza anche ai servizi online. Il primo è Office 365, ma nell’elenco pubblicato dall’azienda di Redmond ci sono anche Office Online, Outlook.com, Lync, Yammer e SharePoint. La partecipazione al Bug Bounty Program è aperta ai “cacciatori di vulnerabilità” di tutto il mondo. Per ognuno dei bug individuati verrà elargito un premio minimo di 500 dollari, ma la somma esatta dipenderà dal suo livello di pericolosità.

Il programma è stato inaugurato circa un anno fa, in occasione dell’annuncio di Windows 8.1. L’Internet Explorer 11 Preview Bug Bounty ha avuto una durata di 30 giorni, durante i quali Microsoft ha pagato oltre 11.000 dollari, mentre gli altri due (Mitigation Bypass e BlueHat Defense) sono ancora in corso e prevedono premi più cospicui (fino a 100.000 dollari), in quanto si tratta di scoprire vulnerabilità gravi nel sistema operativo. Il terzo programma, Online Services Bug Bounty, è attivo dal 23 settembre e premierà i ricercatori che individueranno falle di sicurezza in 12 domini.

I partecipanti dovranno scoprire e segnalare nove tipi di vulnerabilità che potrebbero essere sfruttati per eseguire attacchi XSS (Cross Site Scripting) e CSRF (Cross Site Request Forgery), accesso e modifica dei dati non autorizzati, esecuzione di codice lato server, escalation di privilegi, ecc. Microsoft ha specificato anche le vulnerabilità che, invece, non danno diritto ad incassare il premio.

Per cercare i bug in Office 365 è necessario ottenere un account di test. La ricerca deve essere effettuata senza provocare l’interruzione del servizio o un incremento del traffico. Sono inoltre vietate tecniche di phishing e di social engineering. In nessun caso devono essere toccati i dati di altre persone. L’obiettivo del programma è scoprire velocemente i problemi che potrebbero incidere negativamente sull’esperienza d’uso degli utenti.