DESCRIÇÃO DO PROGRAMA:

O Programa de Recompensas do Xbox convida jogadores, pesquisadores de segurança e outros ao redor do mundo a ajudar a identificar vulnerabilidades na segurança da rede ou dos serviços do Xbox Live e a compartilhá-las com a equipe do Xbox. Os envios qualificados poderão receber recompensas de US$ 500 a US$ 20.000.

As recompensas serão concedidas a critério da Microsoft com base na gravidade e no impacto da vulnerabilidade e na qualidade do envio. Além disso, estão sujeitas aos Termos e Condições das Recompensas da Microsoft.

O QUE CONSTITUI UM ENVIO QUALIFICADO?

A meta do programa de recompensas pela identificação de bugs é descobrir vulnerabilidades significativas com impacto direto e demonstrável na segurança dos clientes da Microsoft. Os envios de vulnerabilidades precisam atender aos seguintes critérios para qualificação para receber a recompensa:

  • Identifique uma vulnerabilidade não relatada anteriormente que seja reproduzida na última versão totalmente corrigida da rede ou dos serviços do Xbox Live no momento do envio.
  • Inclua etapas claras, concisas e reproduzíveis, por escrito ou em formato de vídeo.
    • Isso permite que os envios sejam analisados o mais rapidamente possível e possibilita prêmios de recompensa mais altos.

INTRODUÇÃO

Criar uma conta de rede do Xbox. Recomendamos criar uma ou mais contas de teste para conduzir pesquisas de vulnerabilidade de segurança.

  • O acesso a um Xbox 360, Xbox One, Xbox One S ou Xbox One X não é necessário para os testes, mas talvez possa ser útil. Observe que consoles não serão fornecidos para fins de teste.
  • O acesso a uma conta Xbox Gold, Projeto xCloud, Xbox Game Pass, Xbox Game Pass para PC ou Xbox Game Pass Ultimate não é necessário para os testes, mas talvez possa ser útil. Observe que contas pagas não serão fornecidas para fins de teste.

Para saber mais sobre os últimos recursos e lançamentos do Xbox, acompanhe a conta do Twitter, o site da comunidade e os fóruns do Xbox e veja o que está por vir no Xbox Insider.

COMO OS VALORES DOS PRÊMIOS SÃO DEFINIDOS?

Os prêmios de recompensa vão de USD 500 até USD 20.000. É possível que prêmios maiores sejam distribuídos, a critério da Microsoft, com base na qualidade e no impacto da vulnerabilidade do relatório. Os pesquisadores com envios não qualificados para os prêmios ainda poderão se qualificar para reconhecimento público se o envio levar a uma correção de vulnerabilidade.

Impacto de segurança

Qualidade do relatório

Gravidade

Crítico

Importante

Moderado

Baixo

Execução remota de código

Alto

Média

Baixo

USD 20.000

USD 15.000

USD 10.000

USD 15.000

USD 10.000

USD 5.000

N/D

N/D

Elevação de privilégio

Alto

Média

Baixo

USD 8.000

USD 4.000

USD 3.000

USD 5.000

USD 2.000

US$ 1.000

USD 0

N/D

Bypass de recurso de segurança

Alto

Média

Baixo

N/D

USD 5.000

USD 2.000

US$ 1.000

USD 0

N/D

Divulgação de informações confidenciais

Alto

Média

Baixo

N/D

USD 5.000

USD 2.000

US$ 1.000

USD 0

USD 0

Falsificação

Alto

Média

Baixo

N/D

USD 3.000

USD 2.000

USD 500

USD 0

USD 0

Adulteração

Alto

Média

Baixo

N/D

USD 3.000

USD 2.000

USD 500

USD 0

USD 0

Negação de serviço

Alta/baixa

Fora do escopo

N/D: vulnerabilidades que resultam no impacto de segurança listado não se qualificam para esta categoria de severidade 

Um relatório de alta qualidade fornece aos engenheiros as informações necessárias para reproduzir, entender e corrigir o problema rapidamente. Normalmente, isso inclui um texto ou um vídeo conciso com todas as informações de referência necessárias, uma descrição do bug e uma PoC (prova de conceito) anexada. Exemplos de relatórios de alta e de baixa qualidade estão disponíveis aqui.  

Reconhecemos que alguns problemas são extremamente difíceis de reproduzir e entender. Isso será considerado ao examinar a qualidade de cada envio. 

VULNERABILIDADES NO ESCOPO

Veja a seguir exemplos de vulnerabilidades que podem levar a um ou mais dos impactos de segurança acima:

  • XSS (Cross-Site Scripting)
  • CSRF (Solicitação Intersite Forjada)
  • Referências a objetos diretos inseguros
  • Desserialização insegura
  • Vulnerabilidades de injeção
  • Execução de código do servidor
  • Configuração incorreta significativa de segurança (quando não causada pelo usuário)
  • Explorações demonstráveis em componentes de terceiros
    • Requer a PoC (prova de conceito) completa da exploração. Por exemplo, simplesmente identificar uma biblioteca desatualizada não se qualificaria para um prêmio

QUAIS SÃO AS REGRAS DO TESTE DO MICROSOFT ONLINE SERVICES QUALIFICADO PARA RECOMPENSA?

O escopo deste programa é limitado a vulnerabilidades técnicas da rede do Xbox.

As seguintes atividades são proibidas no Programa de Recompensas do Xbox:

  • Qualquer tipo de teste de Negação de Serviço.
  • Executar testes automatizados de serviços que geram quantidades significativas de tráfego.
  • Obter acesso a qualquer dado que não seja totalmente seu. Por exemplo, você tem permissão para (e é incentivado a) criar um pequeno número de contas de teste com a finalidade de demonstrar e provar o acesso a dados entre contas. No entanto, é proibido usar uma dessas contas para acessar os dados de um cliente ou conta legítima.
  • Ir além do minimamente necessário para as etapas de reprodução da "prova de conceito" para problemas com execução no lado do servidor
  • Tentativas de phishing ou outros ataques de engenharia social contra nossos funcionários ou clientes do Xbox.

Mesmo com essas proibições, a Microsoft se reserva o direito de responder a quaisquer ações em suas redes que pareçam mal-intencionadas.

VULNERABILIDADES FORA DO ESCOPO

A Microsoft tem o prazer de receber e examinar cada envio caso a caso, mas alguns tipos de envio e de vulnerabilidade podem não estar qualificados para recompensas. Veja alguns dos problemas de baixa severidade ou fora do escopo que normalmente não ganham recompensas:

  • Vulnerabilidades divulgadas publicamente que já foram relatadas à Microsoft ou já são conhecidas pela comunidade de segurança como um todo
  • Tipos de vulnerabilidade fora do escopo, incluindo:
    • Divulgação de informações confidenciais do servidor, como IPs, nomes de servidor e a maioria dos rastreamentos de pilha
    • Bugs do CSRF de baixo impacto (como logoff)
    • Problemas de Negação de Serviço
    • Problemas relacionados a fraudes
    • Invasão de subdomínio
    • Vulnerabilidades de reprodução de cookie
    • Redirecionamentos de URL (a menos que combinados com outra vulnerabilidade para produzir uma vulnerabilidade mais grave)
  • Vulnerabilidades baseadas na configuração ou na ação do usuário, por exemplo:
    • Vulnerabilidades que exigem ações improváveis ou abrangentes do usuário
    • Vulnerabilidades em conteúdo ou aplicativos criados pelo usuário.
  • Vulnerabilidades baseadas em terceiros, por exemplo:
    • Vulnerabilidades em software de terceiros identificadas sem prova de conceito
  • Vulnerabilidades em outros produtos da Microsoft:
  • Vulnerabilidades no Mixer, GamePass, xCloud e Xbox.com
  • Vulnerabilidades em sites de terceiros que não são propriedade da Microsoft e sites relativos a campanhas de marketing
    • Verifique os registros "WHOIS" para todos os IPs resolvidos antes de testar para verificar a propriedade da Microsoft. Alguns sites de host de terceiros da Microsoft em subdomínios de propriedade da Microsoft e esses terceiros não estão no escopo desse programa de recompensas para a localização de bugs.
  • Vulnerabilidades em estúdios de jogos da Microsoft, incluindo, mas não limitando-se a:
    • compulsiongames.com
    • doublefine.com
    • inxile.net
    • ninjatheory.com
    • obsidian.net
    • playground-games.com
    • undeadlabs.com

A Microsoft reserva-se o direito de rejeitar envios que, de acordo com nosso entendimento, se enquadrem em uma dessas ou em outras categorias de vulnerabilidades, mesmo que se qualifiquem de outra forma para uma recompensa.

COMO POSSO FAZER MEU ENVIO?

Faça o envio completo para a Microsoft usando o portal de envio do MSRC e seguindo o formato recomendado em nossas diretrizes de envio. Solicitamos que você siga a Divulgação de Vulnerabilidades Coordenada ao relatar todas as vulnerabilidades. Dedicaremos esforços razoáveis para esclarecer envios indecifráveis ou incompletos.

PRÊMIOS DE RECOMPENSA

A Microsoft mantém um critério exclusivo para determinar os valores do prêmio e quais envios estão qualificados e no escopo.

  • Não há restrições quanto ao número de envios qualificados que um remetente pode fornecer ou o número de prêmios que um remetente pode receber.
  • Se recebermos vários relatórios de bug de pessoas diferentes para o mesmo problema, a recompensa será concedida ao primeiro envio completo e reproduzível. 
  • Se um relatório duplicado fornecer novas informações desconhecidas anteriormente pela Microsoft, poderemos premiar o envio duplicado com um valor. 
  • Se um envio for potencialmente qualificado para vários programas de recompensas, você receberá o prêmio único de maior valor de somente um programa de recompensas. 
  • Mesmo que não seja coberto por um programa de recompensas existente, reconheceremos publicamente contribuições crucialmente importantes quando corrigirmos a vulnerabilidade.
  • Todos os envios de vulnerabilidades válidos são contabilizados em nosso Programa de Reconhecimento de Pesquisadores e no placar de líderes, mesmo que não se qualifiquem para um prêmio de recompensa. 

TERMOS E CONDIÇÕES DA RECOMPENSA

Para saber mais sobre os requisitos e as diretrizes legais do programa de recompensas da Microsoft, confira os Termos de Recompensa, a política de Porto Seguro e as Perguntas frequentes

Alguma pergunta? Sempre estamos disponíveis em secure@microsoft.com.

Agradecemos sua participação no programa de recompensas da Microsoft para identificação de bugs.

HISTÓRICO DE REVISÃO

  • 30 de janeiro de 2020: Recompensa do Xbox lançada