4006-555-883

Facebook现在向黑客支付报告第三方应用程序安全漏洞的费用

发布时间:2019-10-17 11:06:00

  继社交媒体平台遭遇一系列安全事故和数据滥用之后,Facebook今天以一种非常独特的方式扩展了其Bug悬赏计划,以增强与其平台集成的第三方应用程序和网站的安全性。

  去年,Facebook推出了“数据滥用赏金”计划,奖励任何举报第三方应用程序收集Facebook用户数据并将其传递给恶意方的有效事件的人,违反了Facebook修改后的数据政策。

  显然,事实证明,大多数情况下,Facebook用户被滥用的数据首先是由于第三方应用程序或服务存在漏洞或安全漏洞而暴露出来的。


  Facebook生态系统包含数以百万计的第三方应用程序,不幸的是,其中很少有应用程序有漏洞泄露程序,也没有为白帽黑客在其代码库中负责任地报告错误提供错误赏金。

  由于研究人员和受影响的应用程序开发人员之间的这种沟通差距,Facebook针对第三方应用程序和网站的安全程序直到现在还仅限于“被动地观察漏洞”。

  尽管Facebook去年年底已经扩大了针对第三方应用程序的缺陷奖励计划,但该计划仅限于针对Facebook用户的访问令牌(允许用户使用Facebook登录到另一个应用程序)曝光的有效报告提交。

  鼓励b/w黑客和开发人员协作的努力

  现在,为了鼓励第三方应用程序开发商更加重视应用程序的安全性,并建立漏洞披露计划,Facebook决定自掏腰包向白帽研究人员支付费用,即使应用程序开发商没有自己的悬赏计划。

  Facebook说:“尽管这些漏洞与我们自己的代码无关,但我们希望研究人员有一个清晰的渠道来报告这些问题,如果这些问题可能导致我们用户的数据可能被滥用。”

  “我们还希望激励研究人员专注于应用程序、网站和bug悬赏计划,否则可能得不到足够的关注,或者可能没有资源来激励bug悬赏社区。”

  “通过承诺奖励有关影响Facebook数据的第三方应用程序和网站漏洞的有效报告,我们希望鼓励安全社区与更多应用程序开发人员接触。”

  换言之,应用程序开发人员可以利用这个程序,只需建立自己的漏洞披露政策,这将帮助研究人员有资格在他们的代码中发现漏洞,并从Facebook获得奖励。

  web应用防火墙

  这是因为,提交给Facebook的第三方应用程序漏洞报告只有在研究人员将报告提交给Facebook的Bug悬赏计划时,包括第三方开发者授权的证明,才会被视为有效。

  然而,如果第三方开发人员已经有了自己的bug奖励计划,研究人员可以向双方申请奖励。

  Facebook将根据报告的漏洞的潜在影响和严重程度发放奖励,最低支付额为500美元。

  针对数据滥用的漏洞奖励程序和影响整个生态系统的第三方应用程序是网络安全领域日益增长的趋势。最近,谷歌还扩大了其付费商店悬赏计划,以奖励在任何下载量超过1亿次的Android应用程序中发现漏洞的黑客。

  不过,在这种情况下,谷歌负责与应用程序开发者合作,而Facebook的最新计划也是让研究人员直接与第三方开发者合作的一个好办法。

  (内容翻译于thehackernews.com)

最新发布
1
政府机构频遭黑客攻击,国密改造亟需加快推进
2
普京签署特殊“总统令”,关键信息基础设施成各国网络空间博弈主战场
3
首都网络安全日 | 数字经济时代,如何守护我们的网络安全?
4
俄罗斯5.8 TB数据遭黑客泄露,关键基础设施安全亟待加强
5
中共中央办公厅 国务院办公厅发文加强打击网络诈骗,SSL证书网络防护作用凸显
6
警惕!银行系统漏洞频发,国密改造亟需加快推进
7
4·15国家安全教育日 | 网络安全,你我共建
8
央视专题报道,2亿多网民遭遇信息泄露,如何应对网络安全“重灾区”?
9
Twitter流量疑遭俄罗斯劫持!防劫持保安全SSL证书不可或缺
10
证据曝光!美国对中国使用顶级网络武器!网络“镰刀”之下如何保护自己的安全?
相关推荐
中共中央办公厅 国务院办公厅发文加强打击网络诈骗,SSL证书网络防护作用凸显
证据曝光!美国对中国使用顶级网络武器!网络“镰刀”之下如何保护自己的安全?
Twitter流量疑遭俄罗斯劫持!防劫持保安全SSL证书不可或缺
战火蔓延,俄罗斯惨遭“断网”!国内网站备份国密证书刻不容缓!
警惕!银行系统漏洞频发,国密改造亟需加快推进
近七成公众担心账号和个人信息泄露,维护网络安全任重道远
首都网络安全日 | 数字经济时代,如何守护我们的网络安全?
普京签署特殊“总统令”,关键信息基础设施成各国网络空间博弈主战场
9800余起!公安部公布2021年侵犯个人信息案例,保护信息安全任重道远
央视专题报道,2亿多网民遭遇信息泄露,如何应对网络安全“重灾区”?