Auf dieser Seite werden häufig gestellte Fragen zum Bug-Bounty-Programm von Microsoft beantwortet. In den Microsoft-Nutzungsbedingungen für Bug-Bounty-Programme finden Sie ausführliche Informationen zu den Nutzungsbedingungen für dieses Programm.
|

Übermitteln Sie Ihren Bericht mithilfe dieser Richtlinien für das Übermitteln von Fehlern an Microsoft (einschließlich Anweisungen zum Reproduzieren des Sicherheitsrisikos). Sie können Ihren Bericht an „secure@microsoft.com“ senden, wenn Sie diese Website nicht verwenden können.
 
Wichtige Hinweise:
 
  • Wir bitten Sie, beim Übermitteln von Sicherheitsrisiken die Prinzipien der koordinierten Offenlegung von Sicherheitsrisiken (Coordinated Vulnerability Disclosure) zu befolgen, da Berichte, die diesen Vorgaben nicht entsprechen, im Zusammenhang mit Belohnungen nicht berücksichtigt und Sie von künftigen Bug-Bounty-Programmen ausgeschlossen werden können.
  • Microsoft ist nicht dafür verantwortlich, dass manche Einsendungen aus irgendeinem Grund nicht erhalten werden.
  • Microsoft ist bemüht, nicht lesbare oder unvollständige Einsendungen zu bewerten. Ausführlichere Berichte werden allerdings mit höheren Auszahlungsbeträgen belohnt (siehe Tabellen zu den Programmen für Details).
  • Es gibt keine Einschränkungen hinsichtlich der Anzahl qualifizierter Einsendungen eines einzelnen Absenders, die möglicherweise belohnt werden.

  1. Sie erhalten eine E-Mail, in der der Erhalt Ihres Berichts bestätigt wird.
  2. Zuerst wird die Einsendung einschließlich der Reproduzierbarkeit des Sicherheitsrisikos von unseren Technikern geprüft und die Auswirkung auf die Sicherheit bewertet. Die für die Überprüfung benötigte Zeit hängt von der Komplexität und Vollständigkeit Ihres Berichts sowie der Anzahl der bei uns eingegangenen Berichte ab.
  3. Wenn wir Ihre Einsendung überprüft haben und feststellen, dass diese berücksichtigt werden kann, werden Sie von uns kontaktiert und der Auszahlungsprozess in die Wege geleitet.
  4. Anschließend führen Sie die Registrierung zusammen mit einem unserer Anbieter für die Auszahlung durch. Nach der Registrierung erhalten Sie Ihre Belohnung.
  5. Da alle Personen, die Sicherheitsrisiken übermittelt haben, mithilfe unserer Sicherheitsexperten und Microsoft Online Services erfasst werden, wissen wir ganz genau, wer eine Belohnung erhalten hat.

Informationen hierzu finden Sie im Abschnitt „Teilnahmeberechtigung“ in den Microsoft-Nutzungsbedingungen für das Bug-Bounty-Programm.

Informationen hierzu finden Sie im Abschnitt „Teilnahmeberechtigung“ in den Microsoft-Nutzungsbedingungen für das Bug-Bounty-Programm.

  • Microsoft entscheidet nach eigenem Ermessen, welche Einsendungen berücksichtigt werden.
  • Wenn wir von verschiedenen Absendern Fehlerberichte für ein und dasselbe Problem erhalten, wird die erste Einsendung belohnt.
  • Wenn ein weiterer Bericht aber neue Informationen bereitstellt, die Microsoft zuvor nicht bekannt waren, erhält der Absender dieses doppelten Berichts möglicherweise ebenfalls eine Belohnung.

Wir haben schon vor langem die Wichtigkeit der Arbeit von Sicherheitsexperten erkannt, die uns dabei helfen, unsere Produkte auf verschiedene Art und Weise sicherer zu machen. Dies reicht von Veröffentlichungen bis hin zu Einladungen zu Events wie der Party in Las Vegas, mit der wir unsere Dankbarkeit ausdrücken möchten. Das Bug-Bounty-Programm ist das neueste unserer kontinuierlichen Investitionen in die Zusammenarbeit mit Sicherheitsexperten.

Die Sicherheit unserer Kunden hat bei Microsoft höchste Priorität. Wir bemühen uns, jeden Bericht zu einem Sicherheitsrisiko zeitnah zu bearbeiten. Während wir diese Einsendungen überprüfen, ist es sehr wichtig, dass die im Rahmen des Bug-Bounty-Programms eingereichten Informationen streng vertraulich behandelt werden und nicht mit Dritten oder in Form von schriftlichen Veröffentlichungen oder Konferenzbeiträgen geteilt werden. Nachdem das Sicherheitsrisiko behoben wurde, können Sie allgemeine Beschreibungen sowie nicht reversible Veranschaulichungen Ihrer Forschung bereitstellen. Der detaillierte Proof-of-Concept-Exploitcode und Details, die Angriffe auf Kunden vereinfachen würden, müssen für 30 Tage nach Beheben des Sicherheitsrisikos zurückgehalten werden. Sie werden von Microsoft benachrichtigt, wenn das in Ihrem Bericht erwähnte Sicherheitsrisiko behoben ist. Möglicherweise erhalten Sie noch vor der Veröffentlichung der Fehlerbehebung eine Belohnung, weshalb eine solche nicht als Bestätigung für das Beheben eines Problems angesehen werden sollte.
  • Kontaktieren Sie bounty@microsoft.com, wenn Sie ein Sicherheitsrisiko nach dessen Behebung besprechen möchten. Dies umfasst Blogbeiträge, öffentliche Präsentationen, Whitepaper und andere Medien.
  • Im Allgemeinen empfiehlt es sich, nach Beheben des übermittelten Sicherheitsrisikos mindestens 30 Tage mit der Diskussion in der Öffentlichkeit zu warten, um den Benutzern Zeit zum Aktualisieren zu geben.

Ja. Es ist wichtig, dass Sie uns sofort über Sicherheitsrisiken informieren, wenn Sie diese gefunden haben. Das Übermitteln des Berichts zu einem Sicherheitsrisiko wird dann belohnt. Wenn wir den funktionierenden Exploit innerhalb von 90 Tagen nach Übermitteln des Sicherheitsrisikos erhalten, wird die hohe Qualität oder der praxisorientierte Exploitbericht mit einer zusätzlichen Auszahlung belohnt. Wenn beispielsweise wichtige RCE übermittelt werden, erhalten Sie hierfür im Rahmen des Programms 6.000 US-Dollar. Wenn Sie uns zusätzlich den funktionierenden Exploit innerhalb von 90 Tagen zukommen lassen, erhalten Sie die zusätzlichen 9.000 US-Dollar.

Unsere Programme werden ständig neu bewertet, um eine fortwährende Win-Win-Situation für die Community der Sicherheitsexperten und die Microsoft-Kunden zu gewährleisten.

Wenn Sie Ihre eigene Idee zur Risikovermeidung übermitteln, müssen Sie sich nicht vorab registrieren. Senden Sie diese einfach an secure@microsoft.com. Wenn Sie eine Risikovermeidungstechnik übermitteln, die Sie in der Praxis verwendet haben, müssen Sie sich vor der Übermittlung registrieren. Senden Sie zuerst eine E-Mail an bounty@microsoft.com. Die gesamten Programmbedingungen finden Sie hier.

Ja. Für die Umgehung einer Risikovermeidungstechnik, die gemäß den Bedingungen neu und in der Praxis durchführbar ist und eine vorhandene Risikovermeidungstechnik blockieren kann, erhalten Sie bis zu 100.000 US-Dollar. Wenn Sie eine Technik für die Umgehung einer Risikominderung und die entsprechenden Exploits als Beweis für deren Funktionsfähigkeit in der Praxis haben, werden Sie im Rahmen dieses Programms berücksichtigt.

Sicherheitsexperten, die für die Teilnahme am Programm berechtigt sind, werden von Microsoft und seinen Partnern HackerOne und Bugcrowd belohnt. HackerOne und Bugcrowd helfen uns bei der schnellen Bereitstellung der Belohnungen sowie weiteren Optionen für die Auszahlung wie PayPal, Payoneer, Spenden im Rahmen von Wohltätigkeitsveranstaltungen, Kryptowährungen oder Sofortüberweisungen in mehr als 30 Währungen. Über HackerOne oder Bugcrowd verteilte Belohnungen von Microsoft tragen zusätzlich zum guten Ruf eines Sicherheitsexperten auf der Plattform des Anbieters bei.

Microsoft verwaltet die Bug-Bounty-Programme weiterhin unabhängig von den Plattformen von HackerOne und Bugcrowd. Berichte zu Sicherheitsrisiken müssen direkt über das MSRC-Portal oder secure@microsoft.com an Microsoft übermittelt werden. Details zu diesen Einsendungen werden nicht mit den Partnern geteilt, die für die Auszahlung der Belohnungen zuständig sind. Unsere Partner für die Auszahlung von Belohnungen erhalten lediglich Informationen zum Auszahlungsbetrag, der Berichtsnummer und dem Schweregrad des Sicherheitsrisikos. Alle Fragen zum Status der Bewertung einer Einsendung, einer Korrektur oder einem Release sollten direkt an Microsoft gestellt werden.

 

Personen, die HackerOne oder Bugcrowd nicht nutzen können, können das Zahlungssystem von Microsoft verwenden, um Ihre Belohnung zu erhalten. Belohnungen, die über unser Zahlungssystem ausgezahlt werden, werden monatlich verarbeitet.