Facebook расширил программу Bug Bounty для сторонних сервисов

18 октября 2019 г., пятница

Компания рассчитывает, что обновление программы bug bounty повысит безопасность экосистемы вокруг социальной сети.

Социальная сеть Facebook расширила свою программу по поиску багов в сторонних сервисах, интегрированных с социальной сетью. Теперь хакеры смогут претендовать на награду за ошибки кода, которые обнаружили как методом пассивного наблюдения, так и с помощью специальных утилит.

Как пояснил представитель Facebook Дэн Гарфинкель (Dan Gurfinkel), компания будет рассматривать сообщения о багах только после того, как специалисты сообщат о них создателю уязвимых сервисов. Это позволяет хакерам получать деньги дважды — сначала от разработчиков программы, а затем от социальной сети. Минимальное вознаграждение, которое Facebook планирует выплачивать за такие баги, составляет $500, верхний лимит отсутствует.

Обновление снимает ограничение, которое компания Facebook установила в 2018 году, когда ошибки сторонних приложений впервые были включены в ее программу bug bounty. Тогда вознаграждения выплачивались только за уязвимости, которые были обнаружены без вмешательства в работу сервисов.

Гарфинкель отметил, что обновление программы привлечет внимание ИБ-специалистов к сервисам небольших компаний. Это поможет повысить безопасность своих продуктов тем разработчикам, которые не могут позволить себе дорогостоящие программы по поиску багов.

По сообщению Facebook, в 2018 году соцсеть выплатила белым хакерам $1,1 млн. В этот период награды удостоились более 700 исследователей, а всего компания получила почти 18 тыс. отчетов о возможных ошибках.

В некоторых случаях Facebook платит за уязвимости, которые формально не подпадают под действие программы. В начале 2019 года вознаграждение в $10 тыс. получили специалисты, обнаружившие баг в протоколе Fizz — он защищает данные веб-сервисов Facebook. Дыра позволяла вызывать критические ошибки в работе социальной сети, включая мобильные приложения.

Threatpost