Facebook ra mắt chương trình bounty lỗi bảo mật
Facebook đã đưa ra một chương trình bounty lỗi bảo mật mà phần thưởng cho các nhà nghiên cứu bảo mật cho tư nhân và có trách nhiệm thông báo cho công ty về các lỗ hổng trang web.
Facebook đã đưa ra một chương trình với các kí tự fb mới để bù đắp cho các nhà nghiên cứu an ninh phát hiện các lỗ hổng trong mã của trang web. Để có tiền mặt, tin tặc phải đăng nhập vào cổng thông tin mới của eBay, gọi là Information for Security Các nhà nghiên cứu, tại facebook.com/whitehat và báo cáo trực tiếp các vấn đề với đội bảo mật của Facebook.
Facebook cung cấp một khoản thanh toán cơ bản là $ 500 (một khoản tiền thưởng cho mỗi lỗi bảo mật) nhưng nói rằng nó sẵn sàng trả nhiều hơn nếu phát hiện lỗ hổng là một trong những chính. Công ty cho biết chương trình mới này là một trong những cách nó cho thấy sự đánh giá cao đối với các nhà nghiên cứu an ninh, những người giúp nó giữ cho dịch vụ an toàn và an toàn cho tất cả mọi người. Nó cho phép các nhà nghiên cứu bảo mật tạo ra các tài khoản thử nghiệm trên Facebook theo cách không vi phạm các điều khoản sử dụng trang web và không ảnh hưởng đến người dùng Facebook khác.
Để đủ điều kiện cho một tiền thưởng, Facebook cho biết rằng tin tặc phải:
Tuân thủ Chính sách Tiết lộ có Trách nhiệm của mình bằng cách cho phép công ty có thời gian hợp lý để phản hồi lại báo cáo trước khi đưa ra bất kỳ thông tin nào và cố gắng hết sức để tránh vi phạm quyền riêng tư, phá hoại dữ liệu và gián đoạn hoặc suy thoái dịch vụ trong quá trình nghiên cứu
Hãy là người đầu tiên tiết lộ có trách nhiệm lỗi
Báo cáo lỗi có thể ảnh hưởng đến tính toàn vẹn hoặc sự riêng tư của dữ liệu người dùng Facebook, chẳng hạn như XSS, Cross-Site Request Forgery (CSRF / XSRF) và Remote Code Injection
Cư trú ở một quốc gia không thuộc bất kỳ hình thức trừng phạt nào của Hoa Kỳ hiện nay (như Triều Tiên, Libya, Cuba, v.v ...)
Trước đây, Facebook đã tập trung vào sự công nhận đơn giản bằng cách đặt tên của nhà nghiên cứu an ninh vào trang bảo mật của nó dưới danh sách White Hats (tại thời điểm viết, đã có 42 cá nhân được liệt kê). Công ty cũng thường xuyên gửi cho họ hàng hóa trên Facebook, và thậm chí cung cấp các công việc dựa trên sự tiết lộ của họ hoặc công việc bảo mật của họ ở nơi khác (hacker nổi tiếng Geohot đã được thuê cách đây ba tháng). Giờ đây cổng thông tin đã được nâng cấp để các nhà nghiên cứu bảo mật có thể đăng nhập, đăng nhập và báo cáo lỗi.
Điều đó đang được nói, có một số ngoại lệ mà Facebook danh sách ngay off the bat:
Các lỗi bảo mật trong các ứng dụng của bên thứ ba
Các lỗi bảo mật trong các trang web bên thứ ba tích hợp với Facebook
Các lỗi bảo mật trong cơ sở hạ tầng doanh nghiệp của Facebook
Các lỗ hổng từ chối dịch vụ
Kỹ thuật về kỹ thuật về spam hoặc kỹ thuật xã hội
Vì Facebook có hơn 750 triệu người dùng, các lỗ hổng có thể ảnh hưởng đến một số lượng lớn người. Kết quả là, chương trình bounty lỗi bảo mật này, trong khi không phải là mới (Mozilla và Google cung cấp một), giúp hacker tạo ra một tác động tích cực trên trang web.
