image

Microsoft betaalt tot 100.000 dollar voor lekken in id-diensten

woensdag 18 juli 2018, 09:47 door Redactie, 12 reacties

Microsoft is een nieuwe beloningsprogramma gestart waarbij het hackers en onderzoekers tot 100.000 dollar betaald voor kwetsbaarheden in identiteitsdiensten zoals Microsoft Account of Azure Active Directory. Volgens de softwaregigant is de digitale identiteit van een gebruiker vaak de sleutel om allerlei online diensten te benaderen. Kwetsbaarheden in identiteitsdiensten kunnen dan ook grote gevolgen hebben.

Via het "Identity Bounty" programma worden zowel kwetsbaarheden in de identiteitsdiensten van eindgebruikers als bedrijven beloond. Zowel diensten als login.live.com, account.windowsazure.com en login.microsoftonline.com alsmede standaarden zoals OpenID Connect Core en OAuth 2.0 komen in aanmerking voor een beloning. De hoogste beloning van 100.000 dollar wordt uitgekeerd voor een aanval waarbij multifactor-authenticatie is te omzeilen of voor kwetsbaarheden in verschillende standaarden.

Reacties (12)
18-07-2018, 09:52 door Anoniem
Die wordt nooit uitbetaald.

Microsoft probeert via het eisen van een Microsoft ID informatie van iedere bezoeken los te peuteren met profielen compleet met naam en telefoonnummer. De bounty is slechts ter ondersteuning van de claim dat het "heus wel veilig" is. Daar gaat het natuurlijk niet alleen om, ze moeten dergelijke informatie niet afpersen van mensen die alleen maar iets op hun computer willen doen.
18-07-2018, 10:25 door Anoniem
Door Anoniem: Die wordt nooit uitbetaald.

Microsoft probeert via het eisen van een Microsoft ID informatie van iedere bezoeken los te peuteren met profielen compleet met naam en telefoonnummer. De bounty is slechts ter ondersteuning van de claim dat het "heus wel veilig" is. Daar gaat het natuurlijk niet alleen om, ze moeten dergelijke informatie niet afpersen van mensen die alleen maar iets op hun computer willen doen.

Microsoft betaalt regelmatig bug bounties, ook hoger dan $100.000. Dat bedrag is peanuts als je kijkt naar wat ze verdienen met hun cloud diensten.
18-07-2018, 11:33 door Anoniem
Ik heb Office 2016 aangeschaft. Werkt alleen met een hotmail-account. Ik heb er dus eentje aangemaakt om vervolgens nooit meer in te loggen. Is dat was MS wil?
18-07-2018, 13:56 door karma4
Door Anoniem: Ik heb Office 2016 aangeschaft. Werkt alleen met een hotmail-account. Ik heb er dus eentje aangemaakt om vervolgens nooit meer in te loggen. Is dat was MS wil?
Nee ze zoeken de open source test skills zodat er vertrouwen is dat het veilig is. Als je vele ernaige lekken vindt ben je zo miljonair. Wat houd je tegen?
18-07-2018, 15:09 door Anoniem
Door Anoniem: Ik heb Office 2016 aangeschaft. Werkt alleen met een hotmail-account. Ik heb er dus eentje aangemaakt om vervolgens nooit meer in te loggen. Is dat was MS wil?

Ja, ze willen een link leggen tussen jou en het gebruik van hun software. Ze gaan daarin steeds een stap verder. Office 2016 legt volkomen nutteloos contact met een server (via hetzelfde profiel) over het gebruik van de software door jou. Dat zie je niet altijd, maar het gebeurt wel.
19-07-2018, 08:35 door -karma4
Door Anoniem:
Door Anoniem: Ik heb Office 2016 aangeschaft. Werkt alleen met een hotmail-account. Ik heb er dus eentje aangemaakt om vervolgens nooit meer in te loggen. Is dat was MS wil?

Ja, ze willen een link leggen tussen jou en het gebruik van hun software. Ze gaan daarin steeds een stap verder. Office 2016 legt volkomen nutteloos contact met een server (via hetzelfde profiel) over het gebruik van de software door jou. Dat zie je niet altijd, maar het gebeurt wel.

Dat geldt ook voor Windows 10. Ze willen weten wanneer je je computer aan en uit zet én wat je er mee doet.
19-07-2018, 12:57 door [Account Verwijderd]
Door The FOSS:
Door Anoniem:
Door Anoniem: Ik heb Office 2016 aangeschaft. Werkt alleen met een hotmail-account. Ik heb er dus eentje aangemaakt om vervolgens nooit meer in te loggen. Is dat was MS wil?

Ja, ze willen een link leggen tussen jou en het gebruik van hun software. Ze gaan daarin steeds een stap verder. Office 2016 legt volkomen nutteloos contact met een server (via hetzelfde profiel) over het gebruik van de software door jou. Dat zie je niet altijd, maar het gebeurt wel.

Dat geldt ook voor Windows 10. Ze willen weten wanneer je je computer aan en uit zet én wat je er mee doet.

Gewoon Linux desktop met Libre Office gebruiken. Daar wordt niks gevolgd. En het is nog gratis ook :-) Geen email adres nodig. De noodzaak van een verplicht email adres bij een OS ontgaat mij geheel...
19-07-2018, 13:05 door -karma4 - Bijgewerkt: 19-07-2018, 13:06
Door linux4:
Door The FOSS:
Door Anoniem: Ja, ze willen een link leggen tussen jou en het gebruik van hun software. Ze gaan daarin steeds een stap verder.

Dat geldt ook voor Windows 10. Ze willen weten wanneer je je computer aan en uit zet én wat je er mee doet.

Gewoon Linux desktop met Libre Office gebruiken. Daar wordt niks gevolgd. En het is nog gratis ook :-) Geen email adres nodig.

Inderdaad! Het ligt zó voor de hand en het is tegenwoordig zó gemakkelijk!

Door linux4: De noodzaak van een verplicht email adres bij een OS ontgaat mij geheel...

Mij ook! Daar moet wel een (commerciële) bijbedoeling achter zitten!
20-07-2018, 21:30 door karma4 - Bijgewerkt: 20-07-2018, 21:30
Door The FOSS: Mij ook! Daar moet wel een (commerciële) bijbedoeling achter zitten!
Androd _ Linux zeer commercieel
Redhat service Linux zeer commercieel
Apple BSD lnux gesloten en heel commercieel
Oracle Linux en meer commerciëler kan haast niet
21-07-2018, 12:32 door -karma4 - Bijgewerkt: 21-07-2018, 12:33
Door karma4:
Door The FOSS: Mij ook! Daar moet wel een (commerciële) bijbedoeling achter zitten!
Androd _ Linux zeer commercieel
Redhat service Linux zeer commercieel
Apple BSD lnux gesloten en heel commercieel
Oracle Linux en meer commerciëler kan haast niet

Linux in de basis is niet commercieel. Dat er een paar commerciële varianten zijn doet daar niets aan af. En als je die commerciële varianten gaat vergelijken met Microsoft Windows dan is het verschil groot. Microsoft heeft een reputatie hoog te houden als genadeloos commerciële partij, die zaken als (OEM-)chantage niet schuwt. Oprichter Bill Gates is uit knagend schuldgevoel (je zou het karma kunnen noemen) noodgedwongen een groot filantroop geworden. Dat zegt al genoeg.
21-07-2018, 14:12 door Anoniem
Door linux4:Gewoon Linux desktop met Libre Office gebruiken. Daar wordt niks gevolgd. En het is nog gratis ook :-)
En je applicaties doen het in eens ook niet meer. Alles werkt net weer even anders, office => Slecht in de onderlinge uitwisseling met het bedrijfsleven. Geeft mij maar gewoon een goede Windows machine met MS Office. Alles werkt in eens zonder problemen

Geen email adres nodig. De noodzaak van een verplicht email adres bij een OS ontgaat mij geheel...
Verdiep je er even in of dit werkelijk noodzakelijk is.
21-07-2018, 20:38 door -karma4 - Bijgewerkt: 21-07-2018, 20:40
Door Anoniem:
Door linux4:Gewoon Linux desktop met Libre Office gebruiken. Daar wordt niks gevolgd. En het is nog gratis ook :-)
En je applicaties doen het in eens ook niet meer. Alles werkt net weer even anders, office => Slecht in de onderlinge uitwisseling met het bedrijfsleven. Geeft mij maar gewoon een goede Windows machine met MS Office. Alles werkt in eens zonder problemen

Wat schrijf je? 'in eens'? Ik verbaas me er keer op keer over dat mensen, voor wie basaal Nederlands blijkbaar te moeilijk is, het nodig vinden om hier hun mening te geven. Denk je niet dat jouw ervaringen met LibreOffice eerder te maken hebben met sterk beperkte geestelijke vermogens en een daarbij horend onvermogen om met, voor normale mensen, triviale verschillen om te gaan?

Door Anoniem:
Geen email adres nodig. De noodzaak van een verplicht email adres bij een OS ontgaat mij geheel...
Verdiep je er even in of dit werkelijk noodzakelijk is.

Wat? Dat verplichte e-mail adres? Dat is natuurlijk niet noodzakelijk! Dat beseft een kind op de kleuterschool.

Excuus linux4, het betoog van Anoniem was niet aan mij gericht maar ik kon het desondanks niet nalaten mij hierin te mengen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.