Skip to main content
Bewerten 

 

Häufig gestellte Fragen zu Microsoft-Bug-Bounty-Programmen

Dieses Dokument beantwortet häufig gestellte Fragen zu Bounty-Programmen und erklärt die Meldungs- und Vertraulichkeitsanforderungen der Programme.

Die Entscheidungen, die von Microsoft getroffen werden, sind endgültig. Microsoft kann dieses Programm zu jeder Zeit aus beliebigem Grund abbrechen. Lesen Sie unbedingt diese gesamten Teilnahmebedingungen, bevor Sie uns eine Meldung senden. Wenn Sie uns eine Meldung für dieses Programm senden, stimmen Sie diesen Teilnahmebedingungen zu. Wenn Sie diesen Teilnahmebedingungen nicht zustimmen möchten, senden Sie uns keine Meldungen und nehmen Sie auch sonst nicht an diesem Programm teil.

WIE REICHE ICH EINEN BERICHT ZU EINEM SICHERHEITSRISIKO FÜR EINE PRÄMIE EIN?

Senden Sie Ihre komplette Meldung mithilfe der Richtlinien für die Fehlermeldung, die Sie hier finden, an Microsoft (einschließlich einer Anleitung zur Reproduktion des Sicherheitsrisikos) unter secure@microsoft.com. Wichtige Hinweise:

  • Wir empfehlen Ihnen, Coordinated Vulnerability Disclosure (CVD) zu befolgen, wenn Sie Microsoft alle Sicherheitsrisiken melden, da Meldungen, die CVD nicht befolgen, möglicherweise nicht prämienberechtigt sind, und Sie von der Teilnahme an zukünftigen Bounty-Programmen ausgeschlossen werden könnten.
  • Microsoft übernimmt keine Verantwortung für Meldungen, die wir aus irgendeinem Grund nicht erhalten.
  • Microsoft unternimmt sein Möglichstes, unlesbare oder unvollständige Meldungen zu klären, jedoch sind vollständigere Meldungen oft für höhere Prämien berechtigt (weitere Informationen hierzu finden Sie in den Prämientabellen der Programme).
  • Es gibt keine Beschränkungen bezüglich der Anzahl der qualifizierten Meldungen, die eine einzelne Person übermitteln kann und für die sie ggf. eine Prämie ausbezahlt bekommt.

WAS GESCHIEHT, NACHDEM ICH DEN BERICHT GESENDET HABE?

  1. Sie erhalten eine E-Mail, in der angegeben wird, dass wir Ihre Meldung erhalten haben.
  2. Unsere Techniker überprüfen dann die Meldung und validieren deren Prämienberechtigung. Die Überprüfungszeit hängt von der Komplexität und Vollständigkeit Ihrer Meldung ab sowie von der Anzahl der Meldungen, die wir erhalten.
  3. Nachdem Ihre Meldung überprüft wurde, werden Sie kontaktiert, damit die nötigen Papiere für den Zahlungsvorgang bereitgestellt werden können.
  4. Sie füllen die Papiere für die Steuerdokumentation aus. Nachdem wir alle Unterlagen von Ihnen empfangen haben und bestätigen, dass Sie berechtigt sind, Zahlungen im Rahmen dieses Programms zu erhalten, wird Ihre Meldung als qualifiziert betrachtet, und wir leiten den Zahlungsvorgang ein.
  5. Wir würdigen alle Einzelpersonen, die Prämien erhalten haben, auf unserer Seite Bounty Honor Roll, sofern Sie uns nicht explizit darum bitten, Ihren Namen dort nicht zu veröffentlichen.

WER IST TEILNAHMEBERECHTIGT?

Sie sind berechtigt, an diesem Programm teilzunehmen, wenn alle folgenden Punkte auf Sie zutreffen:

  • - mindestens 14 Jahre alt sind. - mindestens 14 Jahre alt sind, jedoch an Ihrem Wohnsitz als minderjährig betrachtet werden. Sie benötigen dann die Erlaubnis Ihre Eltern oder eines Erziehungsberechtigten, bevor Sie an diesem Programm teilnehmen dürfen.
  • Sie sind entweder ein einzelner Forscher, der mit seinen eigenen Fähigkeiten teilnimmt, oder Sie arbeiten für eine Organisation, die Ihnen erlaubt, am Programm teilzunehmen. Sie sind dafür verantwortlich, die Regeln Ihres Arbeitgebers zur Teilnahme an diesem Programm zu überprüfen.
  • Keines der Kriterien im Abschnitt „WER IST NICHT TEILNAHMEBERECHTIGT?“ trifft auf Sie zu.

SIE SIND NICHT TEILNAHMEBERECHTIGT, WENN SIE:

  • Sie sind wohnhaft in einem Land, das unter US-Sanktionen fällt (unter dem Link finden Sie eine Liste der aktuellen Sanktionen, veröffentlicht vom United States Treasury Department).
  • - derzeit bei Microsoft Corporation angestellt sind oder bei einer Tochtergesellschaft von Microsoft oder ein direktes Familienmitglied (Elternteil, Geschwisterteil, Ehepartner oder Kind) oder Haushaltsmitglied eines solchen Mitarbeiters sind.
  • - innerhalb der vergangenen sechs Monate vor Ihrer Meldung Mitarbeiter von Microsoft Corporation oder einer Tochtergesellschaft von Microsoft waren.
  • Sie führen derzeit (oder innerhalb von sechs Monaten vor Ihrer Meldung) Dienste für Microsoft oder eine Tochtergesellschaft von Microsoft aus, und zwar als externer Mitarbeiter, der Zugriff auf das Microsoft-Unternehmensnetzwerk benötigt, wie z.B. Leiharbeiter, Mitarbeiter eines Lieferanten, vor Ort tätiger Geschäftspartner oder Auftragnehmer.
  • - in irgendeiner Weise bei der Administration und/oder Ausführung dieses Programms beteiligt waren.

BESTEHEN ZUSÄTZLICHE ANFORDERUNGEN FÜR EINE ORGANISATION, DIE AN MICROSOFT-BUG-BOUNTY-PROGRAMMEN TEILNEHMEN MÖCHTE?

Ja, eine Organisation muss vorab einen Registrierungsprozess abschließen, um am Programm teilnehmen zu können. Senden Sie eine E-Mail an bounty@microsoft.com, um vollständige Informationen hierzu zu erhalten.

WIE BESTIMMT MICROSOFT PRÄMIENZAHLUNGEN?

  • Microsoft bestimmt nach eigenem Ermessen und je nach den Regeln jedes Programms, welche Meldungen als qualifiziert eingestuft werden.
  • Wenn wir mehrere Problemberichte zum gleichen Problem von unterschiedlichen Parteien erhalten, wird die erste prämienberechtigte Meldung prämiert.
  • Wenn ein doppelter Bericht neue Informationen bietet, die Microsoft zuvor nicht bekannt waren, wird der Person, die den doppelten Bericht meldet, eine Teilprämie zugesprochen.
  • Der erste externe Bericht über ein intern bekanntes Problem wird mit maximal $ 1.500 prämiert.

Wenn Sie keine Prämie für Ihre Meldung eines Sicherheitsrisikos erhalten möchten, freut sich Microsoft, die Prämie in Absprache mit Ihnen an eine anerkannte Wohltätigkeitsorganisation zu spenden.

ICH HABE EIN SICHERHEITSRISIKO GEMELDET, BEVOR ES PRÄMIEN GAB. KANN ICH DAFÜR BEZAHLT WERDEN?

Wir würdigen die Arbeit von Sicherheitsforschern, die uns dabei helfen, unsere Produkte zu schützen, schon lange auf verschiedenste Weise: von der Anerkennung in einem Microsoft-Bulletin bis hin zu Einladungen zu Events wie der Researcher Appreciation Party in Las Vegas. Die Bounty-Programme stellen die aktuelle Investitionsart unserer fortlaufenden Investition in die Kooperation mit Sicherheitsforschern dar.

WAS KANN ICH ÜBER EINEN BERICHT ZU SICHERHEITSRISIKEN OFFENLEGEN, DEN ICH FÜR DAS BOUNTY-PROGRAMM GEMELDET HABE, UND WANN KANN ICH DIES TUN?

Wenn Sie ein Sicherheitsrisiko melden, stimmen Sie zu, dass Sie niemals funktionierenden Exploit-Code (einschließlich Binärdaten dieses Codes) für das anwendbare Sicherheitsrisiko für andere Entitäten offenlegen, außer Microsoft veröffentlicht diesen Code, oder Sie sind gesetzlich dazu verpflichtet, diesen offenzulegen. Dies hindert Sie nicht daran, über das Sicherheitsrisiko zu sprechen, sobald es behoben ist, oder die Auswirkungen des Exploit in Code zu zeigen.

  • Bitte sprechen Sie in keiner Form über das Sicherheitsrisiko, bis Sie von Microsoft eine Meldung erhalten, dass es behoben wurde. (Möglicherweise zahlen wir Prämien, bevor ein Sicherheitsrisiko behoben wurde. Warten Sie daher auf die Bestätigung der Behebung) Das Veröffentlichen eines Sicherheitsrisikos, bevor wir Sie über seine Behebung benachrichtigt haben, kann Ihre Berechtigung zur Teilnahme an Prämienprogrammen grundsätzlich aufheben.
  • Wenden Sie sich an bounty@microsoft.com, wenn Sie beabsichtigen, über das Sicherheitsrisiko zu sprechen, nachdem es behoben wurde. Dies schließt Blogbeiträge, öffentliche Präsentationen, Whitepapers und andere Medien ein. Wir veröffentlichen Ihre öffentlichen Beiträge gern an dieser Stelle.
  • Im Allgemeinen empfehlen wir Ihnen, nachdem Ihr gemeldetes Sicherheitsrisiko von Microsoft behoben wurde, mindestens 30 Tage zu warten, bis Sie öffentlich darüber sprechen.

KANN ICH EIN SICHERHEITSRISIKO MELDEN, WENN ICH ES ENTDECKE, UND EINEN FUNKTIONIERENDEN EXPLOIT SPÄTER NACHREICHEN?

Ja. Wir möchten sofort darüber informiert werden, wenn Sie ein Sicherheitsrisiko entdeckt haben. Wir werden Ihnen die Prämie für das gemeldete Sicherheitsrisiko zusprechen. Wenn Sie uns den funktionierenden Exploit innerhalb von 90 Tagen nach Melden des Sicherheitsrisikos senden, werden wir den Betrag aufstocken und Ihnen die gesamte Prämie auszahlen. Wenn Sie z.B. eine kritische Remotecodeausführung melden, erhalten Sie $ 6000 während der Entscheidung. Wenn Sie den funktionierenden Exploit innerhalb von 90 Tagen übermitteln, erhalten Sie die zusätzlichen $ 9000.

WANN WIRD ES EIN BOUNTY-PROGRAMM FÜR [X] GEBEN?

Wir werten unsere Programme kontinuierlich aus, um zu ermitteln, wie eine bessere Win-Win-Situation zwischen der Sicherheitsforschung und den Kunden von Microsoft hergestellt werden kann.

WIE ERFAHRE ICH, OB ICH MICH FÜR ENTSCHÄRFUNGSUMGEHUNGSPRÄMIEN VORAB REGISTRIEREN MUSS?

Wenn Sie Ihre eigene Entschärfungsumgehungsidee melden, die Sie entwickelt haben, müssen Sie sich nicht vorab registrieren. Senden Sie diese einfach an secure@microsoft.com. Wenn Sie eine Entschärfungsumgehungstechnik melden, die in der Praxis verwendet wird, müssen Sie sich vor der Meldung registrieren. Senden Sie eine E-Mail an bounty@microsoft.com, um loszulegen. Die vollständigen Teilnahmebedingungen finden Sie hier.

KANN ICH EINE ABWEHRTECHNIK GEGEN DIE ENTSCHÄRFUNGSUMGEHUNGSTECHNIK EINES ANDEREN MELDEN?

Ja, wenn die Abwehrmeldung entsprechend der Definition in den Teilnahmebedingungen neu und praktisch ist, zahlen wir eine Prämie von bis zu $ 100.000 für eine Abwehrtechnik, die vorhandene Entschärfungsumgehungen blockieren kann. Wenn Sie über eine Abwehrtechnik und entsprechende Exploits verfügen, die beweisen, dass die Technik funktioniert, sind Sie für dieses Programm berechtigt.

DATENSCHUTZERKLÄRUNGEN

Lesen Sie auch die Datenschutzbestimmungen zu diesem Programm.

RECHTLICHE HINWEISE

Es liegt in Ihrer Verantwortung, dass Sie etwaige Richtlinien Ihres Arbeitgebers einhalten, die sich auf Ihre Teilnahmeberechtigung an den Bug-Bounty-Programmen auswirken. Wenn Sie durch Ihre Teilnahme gegen Richtlinien Ihres Arbeitgebers verstoßen, werden Sie möglicherweise von der Teilnahme ausgeschlossen oder erhalten keine Prämie(n). Regierungsangestellte, die teilnehmen möchten, müssen einen Brief des Ethics & Compliance Officers Ihres Arbeitgebers bereitstellen, in dem bestätigt wird, dass sie an diesem Programm teilnehmen können. Alle Zahlungen erfolgen in Übereinstimmung mit den lokal geltenden Gesetzen, Regelungen und ethischen Regeln. Microsoft lehnt jegliche Haftung oder Verantwortung für Rechtsstreitigkeiten zwischen einem Angestellten und seinem Arbeitgeber hinsichtlich dieser Angelegenheit ab.

Wenn wir festlegen, dass Ihre Meldung qualifiziert ist, erhalten Sie über eine Antwort auf Ihre Meldungs-E-Mail eine Benachrichtigung von Microsoft. Wenn die Benachrichtigung, die wir senden, als unzustellbar zurückgesendet wird, oder wenn Sie anderweitig aus irgendeinem Grund nicht erreichbar sind, können wir möglicherweise keine Zahlung bieten.

Wenn darüber gestritten wird, wer die qualifizierte Meldung übermittelt hat, sehen wir den autorisierten Kontoinhaber der E-Mail-Adresse als prämienberechtigten Übermittler an, die für den Zugang zum Programm verwendet wurde. Bevor Sie eine Prämienzahlung erhalten, müssen Sie innerhalb von 30 Kalendertagen nach der Bestätigungsbenachrichtigung eine Teilnahmeberechtigungserklärung (eine formelle Erklärung zur Bestätigung Ihrer persönlichen Informationen), eine Haftungsbefreiung/Veröffentlichungsfreigabe (durch die Microsoft die Berechtigung gewährt wird, Ihren Namen und Ihr Bild zu verwenden, ohne zukünftige Forderungen zu stellen) und ein US-Steuerformular (W-9 oder W-8 BEN) unterschreiben. Wenn Sie für die Öffentlichkeit anonym bleiben möchten, respektieren wir diese Bitte, jedoch benötigen wir für die Zahlung Ihren offiziellen Namen. Wenn Ihre Meldung qualifiziert ist und Sie älter als 14 Jahre alt sind, an Ihrem Wohnsitz jedoch als minderjährig gelten, muss möglicherweise eines Ihrer Elternteile oder Ihr Erziehungsberechtigter alle erforderlichen Formulare für Sie ausfüllen. Wenn Sie die erforderlichen Formulare nicht wie angewiesen ausfüllen oder diese nicht innerhalb des in der Benachrichtigungsmitteilung angegebenen Zeitraums zurückschicken, werden wir möglicherweise keine Zahlung bieten. Die Zahlung kann erst verarbeitet werden, wenn wir die vollständige und ordnungsgemäße erforderliche Dokumentation erhalten haben.

Wenn Ihre Meldung qualifiziert ist, beachten Sie bitte Folgendes:

  • Sie können keine andere Person als Prämienempfänger bestimmen, sofern Sie nicht an Ihrem Wohnsitz als minderjährig gelten.
  • Wenn Sie Ihre Prämie nicht annehmen können oder möchten, behalten wir uns das Recht vor, diese zurückzuziehen.
  • Wenn Sie eine Prämie annehmen, sind Sie allein verantwortlich für alle anwendbaren Steuern bezüglich der Annahme der Zahlung(en).
  • Wenn Sie für dieses Programm teilnahmeberechtigt sind, an Ihrem Wohnsitz jedoch als minderjährig gelten, sprechen wir die Prämienzahlung möglicherweise Ihren Eltern/Ihrem Erziehungsberechtigten in Ihrem Namen zu.

Microsoft fordert keine Eigentumsrechte an Ihrer Meldung. Durch die Bereitstellung Ihrer Meldung für Microsoft trifft jedoch Folgendes zu:

  • Sie gewähren Microsoft die folgende nicht exklusive, unwiderrufliche, unbefristete, gebührenfreie , weltweite, unterlizenzierbare Lizenz für das geistige Eigentum in Ihrer Meldung für Folgendes: (i) zum Verwenden, Überprüfen, Bewerten, Testen und anderweitigen Analysieren Ihrer Meldung; (ii) zum Reproduzieren, Bearbeiten, Verteilen, Anzeigen und öffentlichen Durchführen, Kommerzialisieren und Erstellen von dieser Meldung und ihrem gesamten Inhalt, vollständig oder in Teilen, abgeleiteter Arbeiten im Zusammenhang mit diesem Programm; sowie (iii) zum Darstellen Ihrer Meldung und deren gesamten Inhalts in Verbindung mit dem Marketing, Vertrieb oder der Promotion dieses Programms (inklusive interner und externer Vertriebsmeetings, Konferenzpräsentationen, Messen und Screenshots der Meldung in Pressemitteilungen) in allen Medien (die jetzt bekannt sind oder später entwickelt werden).
  • Sie stimmen zu, jegliche Dokumentation zu unterschreiben, die für uns oder unsere Beauftragten benötigt wird, um sicherzustellen, dass die oben genannten Rechte gewährt wurden.
  • Sie verstehen und erkennen an, dass Microsoft möglicherweise ähnliche oder gleiche Materialien wie die Ihrer Meldung entwickelt oder in Auftrag gegeben hat, und Sie verzichten auf jegliche Ansprüche, die Sie möglicherweise aufgrund von Ähnlichkeiten zu Ihrer Meldung geltend machen möchten.
  • Sie verstehen, dass Sie sich für jedes qualifizierte Sicherheitsrisiko für eine einmalige Zahlung qualifizieren und Ihnen keine weitere Vergütung bzw. Gutschrift für die Verwendung Ihrer Meldung zusteht.
  • Sie stellen dar, dass Ihre Meldung Ihre eigene Arbeit ist und dass Sie keine Informationen verwendet haben, die anderen Personen oder Organisationen gehören.

Dieses Programm wird in den USA gehostet, und Meldungen werden auf Computern in den USA gesammelt. Dieses Programm unterliegt dem Recht des US-Bundesstaats Washington, und Sie erklären sich einverstanden, dass die ausschließliche Zuständigkeit und Gerichtsbarkeit bei den Gerichten des US-Bundesstaats Washington liegt, falls es im Rahmen dieses Programms zu Streitfällen kommt.

Vielen Dank für Ihre Teilnahme am Microsoft-Bug-Bounty-Programm!

MSRC-Blog

SRD-Blog