Microsoft เพิ่มรางวัลสำหรับนักวิจัยที่พบช่องโหว่ของ Microsoft 365

ข่าวดี สำหรับนักวิจัย หรือนักล่ารางวัลด้านความปลอดภัยที่ตรวจพบช่องโหว่ของบริการ Microsoft 365 และ Dynamics 365 สามารถได้รับเงินรางวัลจากเกณฑ์ใหม่สูงสุดที่ 26,000 เหรียญสหรัฐฯ จากเดิมที่เคยได้รับอยู่ที่ 20,000 เหรียญสหรัฐฯ เพิ่มขึ้นมากถึง 30% สำหรับสถานการณ์ช่องโหว่ที่เข้าเกณฑ์พิจารณา
การประกาศของ Microsoft Security Response Center (MSRC) ออกมาแล้วว่า
 
“เราสนับสนุนให้นักวิจัยมุ่งเน้นการวิจัยของพวกเขาเกี่ยวกับช่องโหว่ที่อาจส่งผลกระทบสูงสุดต่อความเป็นส่วนตัวและความปลอดภัยของลูกค้าด้วยการมอบรางวัลตามสถานการณ์ใหม่เหล่านี้”
 
นักวิจัยสามารถได้รับผลตอบแทนเป็นรางวัลที่พิจารณาจากตัวคูณของความรุนแรง ระหว่าง 15 – 30% ตามเกณฑ์ใหม่ที่ทีม MSRC กำหนด
 
สถานการณ์ความรุนแรงรางวัลสูงสุด
การเรียกใช้โค้ดจากระยะไกลผ่านการป้อนข้อมูลที่ไม่น่าเชื่อถือ
(CWE-94 “Improper Control of Generation of Code (‘Code Injection’)”
30%
การเรียกใช้โค้ดจากระยะไกลผ่านการป้อนข้อมูลที่ไม่น่าเชื่อถือ
(CWE-502 “Deserialization of Untrusted Data”)
30%
การรั่วไหลของข้อมูลที่ละเอียดอ่อนระหว่าง Cross-Tenant และ Cross-Identity ที่ไม่ได้รับอนุญาต 1
(CWE-200 “Exposure of Sensitive Information to an Unauthorized Actor”)
20%
การรั่วไหลของข้อมูลที่มีความละเอียดอ่อน Cross-Identity โดยไม่ได้รับอนุญาต
(CWE-488 “Exposure of Data Element to Wrong Session”)
20%
ช่องโหว่ที่สามารถใช้ในการโจมตีเชิงปฏิบัติที่เข้าถึงทรัพยากรในลักษณะที่เลี่ยงการตรวจสอบสิทธิ์
(CWE-918 “Server-Side Request Forgery (SSRF)”)
15%
ล่าสุดเมื่อสัปดาห์ที่ผ่านมา Microsoft ได้ประกาศเพิ่มรายการของ Exchange, SharePoint และ Skype for Business เข้าร่วมในการชิงรางวัลโปรแกรมเดียวกันนี้ด้วย โดยจะได้รับรางวัลตั้งแต่ 500 – 26,000 เหรียญสหรัฐฯ ตามคุณภาพของรายงานช่องโหว่
 
สำหรับรายงานข้อมูลช่องโหว่ที่ไม่เข้าข่ายตามเกณฑ์ที่กำหนด ก็อาจจะมีสิทธิ์ที่จะได้รับรางวัลอื่นทั่วไปได้เช่นกัน ขึ้นอยู่กับดุลยพินิจของ Microsoft แต่เพียงผู้เดียว โดยจะพิจารณาจาก ความรุนแรง ผลกระทบ และคุณภาพของรายงานช่องโหว่นั้นๆ ที่ส่งเข้ามา
 
ที่มา :
 
 

About Pawarit Sornin

- จบการศึกษา ปริญญาตรี สาขาวิทยาการคอมพิวเตอร์ มหาวิทยาลัยสวนดุสิต - เคยทำงานด้าน Business Development / Project Manager / Product Sales ดูแลผลิตภัณฑ์ด้าน Wireless Networking และ Mobility Enterprise ในประเทศ - ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

กลุ่ม RansomHouse ได้กล่าวอ้างถึงการโจรกรรมข้อมูล 450GB จาก AMD

บริษัท AMD ยักษ์ใหญ่ด้านเทคโนโลยีถูกโจมตีทางไซเบอร์ที่ปฏิบัติการโดยกลุ่มอาชญากรทางไซเบอร์ RansomHouse เมื่อเดือนมกราคมที่ผ่านมา ทำให้ข้อมูล 450GB สูญหาย  

CISA ออกคู่มือแนะความมั่นคงปลอดภัยบนคลาวด์

CISA ได้จัดทำคู่มือเพื่อให้ความรู้ความเข้าใจเกี่ยวกับการปฏิบัติตัวของหน่วยงานในสหรัฐฯ แต่จากเนื้อหาแล้วก็สามารถนำมาประยุกต์ใช้อ้างอิงกับองค์กรส่วนใหญ่ได้ครับ