TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
ข่าวดี สำหรับนักวิจัย หรือนักล่ารางวัลด้านความปลอดภัยที่ตรวจพบช่องโหว่ของบริการ Microsoft 365 และ Dynamics 365 สามารถได้รับเงินรางวัลจากเกณฑ์ใหม่สูงสุดที่ 26,000 เหรียญสหรัฐฯ จากเดิมที่เคยได้รับอยู่ที่ 20,000 เหรียญสหรัฐฯ เพิ่มขึ้นมากถึง 30% สำหรับสถานการณ์ช่องโหว่ที่เข้าเกณฑ์พิจารณา
การประกาศของ Microsoft Security Response Center (MSRC) ออกมาแล้วว่า
“เราสนับสนุนให้นักวิจัยมุ่งเน้นการวิจัยของพวกเขาเกี่ยวกับช่องโหว่ที่อาจส่งผลกระทบสูงสุดต่อความเป็นส่วนตัวและความปลอดภัยของลูกค้าด้วยการมอบรางวัลตามสถานการณ์ใหม่เหล่านี้”
นักวิจัยสามารถได้รับผลตอบแทนเป็นรางวัลที่พิจารณาจากตัวคูณของความรุนแรง ระหว่าง 15 – 30% ตามเกณฑ์ใหม่ที่ทีม MSRC กำหนด
| สถานการณ์ความรุนแรง | รางวัลสูงสุด |
| การเรียกใช้โค้ดจากระยะไกลผ่านการป้อนข้อมูลที่ไม่น่าเชื่อถือ (CWE-94 “Improper Control of Generation of Code (‘Code Injection’)” | 30% |
| การเรียกใช้โค้ดจากระยะไกลผ่านการป้อนข้อมูลที่ไม่น่าเชื่อถือ (CWE-502 “Deserialization of Untrusted Data”) | 30% |
| การรั่วไหลของข้อมูลที่ละเอียดอ่อนระหว่าง Cross-Tenant และ Cross-Identity ที่ไม่ได้รับอนุญาต 1 (CWE-200 “Exposure of Sensitive Information to an Unauthorized Actor”) | 20% |
| การรั่วไหลของข้อมูลที่มีความละเอียดอ่อน Cross-Identity โดยไม่ได้รับอนุญาต (CWE-488 “Exposure of Data Element to Wrong Session”) | 20% |
| ช่องโหว่ที่สามารถใช้ในการโจมตีเชิงปฏิบัติที่เข้าถึงทรัพยากรในลักษณะที่เลี่ยงการตรวจสอบสิทธิ์ (CWE-918 “Server-Side Request Forgery (SSRF)”) | 15% |
ล่าสุดเมื่อสัปดาห์ที่ผ่านมา Microsoft ได้ประกาศเพิ่มรายการของ Exchange, SharePoint และ Skype for Business เข้าร่วมในการชิงรางวัลโปรแกรมเดียวกันนี้ด้วย โดยจะได้รับรางวัลตั้งแต่ 500 – 26,000 เหรียญสหรัฐฯ ตามคุณภาพของรายงานช่องโหว่
สำหรับรายงานข้อมูลช่องโหว่ที่ไม่เข้าข่ายตามเกณฑ์ที่กำหนด ก็อาจจะมีสิทธิ์ที่จะได้รับรางวัลอื่นทั่วไปได้เช่นกัน ขึ้นอยู่กับดุลยพินิจของ Microsoft แต่เพียงผู้เดียว โดยจะพิจารณาจาก ความรุนแรง ผลกระทบ และคุณภาพของรายงานช่องโหว่นั้นๆ ที่ส่งเข้ามา
ที่มา :
