微软近日启动了全新的BUG悬赏项目，为那些成功找到服务漏洞的白客工程师提供最高10万美元的奖励。最新上线的Microsoft Identity bounty Bounty项目需要安全专家发掘和分享在多因素认证解决方案中所存在的安全漏洞，根据所提交的漏洞影响级别以及检测到的bypass级别，悬赏金范围在500至10万美元之间。

微软在新BUG悬赏项目中说道：“高质量报告为工程师快速复制、理解和解决问题提供了所需的信息。这些通常会包含BUG的背景信息、BUG的描述以及概念验证。我们意识到某些BUG极难重现和理解，因此在判断提交BUG质量的时候会充分考虑到这点。”

根据BUG悬赏项目的信息，最大的悬赏是绕过多因素身份认证，而最小的悬赏就是跨站点请求伪造、授权漏洞以及不完整提交的敏感数据泄露等等。白客找到这些漏洞提交给微软之后，根据微软官方评判危险等级能够获得最低500美元，最高10万美元的奖励。

此外本轮BUG悬赏计划涵盖以下几个域名：

login.Windows.net

login.microsoftonline.com

login.live.com

account.live.com

account.windowsazure.com

account.activedirectory.windowsazure.com

credential.activedirectory.windowsazure.com

portal.Office.com

passwordreset.microsoftonline.com