4006-555-883

Facebook现在向黑客支付报告第三方应用程序安全漏洞的费用

发布时间:2019-10-17 11:06:00

  继社交媒体平台遭遇一系列安全事故和数据滥用之后,Facebook今天以一种非常独特的方式扩展了其Bug悬赏计划,以增强与其平台集成的第三方应用程序和网站的安全性。

  去年,Facebook推出了“数据滥用赏金”计划,奖励任何举报第三方应用程序收集Facebook用户数据并将其传递给恶意方的有效事件的人,违反了Facebook修改后的数据政策。

  显然,事实证明,大多数情况下,Facebook用户被滥用的数据首先是由于第三方应用程序或服务存在漏洞或安全漏洞而暴露出来的。


  Facebook生态系统包含数以百万计的第三方应用程序,不幸的是,其中很少有应用程序有漏洞泄露程序,也没有为白帽黑客在其代码库中负责任地报告错误提供错误赏金。

  由于研究人员和受影响的应用程序开发人员之间的这种沟通差距,Facebook针对第三方应用程序和网站的安全程序直到现在还仅限于“被动地观察漏洞”。

  尽管Facebook去年年底已经扩大了针对第三方应用程序的缺陷奖励计划,但该计划仅限于针对Facebook用户的访问令牌(允许用户使用Facebook登录到另一个应用程序)曝光的有效报告提交。

  鼓励b/w黑客和开发人员协作的努力

  现在,为了鼓励第三方应用程序开发商更加重视应用程序的安全性,并建立漏洞披露计划,Facebook决定自掏腰包向白帽研究人员支付费用,即使应用程序开发商没有自己的悬赏计划。

  Facebook说:“尽管这些漏洞与我们自己的代码无关,但我们希望研究人员有一个清晰的渠道来报告这些问题,如果这些问题可能导致我们用户的数据可能被滥用。”

  “我们还希望激励研究人员专注于应用程序、网站和bug悬赏计划,否则可能得不到足够的关注,或者可能没有资源来激励bug悬赏社区。”

  “通过承诺奖励有关影响Facebook数据的第三方应用程序和网站漏洞的有效报告,我们希望鼓励安全社区与更多应用程序开发人员接触。”

  换言之,应用程序开发人员可以利用这个程序,只需建立自己的漏洞披露政策,这将帮助研究人员有资格在他们的代码中发现漏洞,并从Facebook获得奖励。

  web应用防火墙

  这是因为,提交给Facebook的第三方应用程序漏洞报告只有在研究人员将报告提交给Facebook的Bug悬赏计划时,包括第三方开发者授权的证明,才会被视为有效。

  然而,如果第三方开发人员已经有了自己的bug奖励计划,研究人员可以向双方申请奖励。

  Facebook将根据报告的漏洞的潜在影响和严重程度发放奖励,最低支付额为500美元。

  针对数据滥用的漏洞奖励程序和影响整个生态系统的第三方应用程序是网络安全领域日益增长的趋势。最近,谷歌还扩大了其付费商店悬赏计划,以奖励在任何下载量超过1亿次的Android应用程序中发现漏洞的黑客。

  不过,在这种情况下,谷歌负责与应用程序开发者合作,而Facebook的最新计划也是让研究人员直接与第三方开发者合作的一个好办法。

  (内容翻译于thehackernews.com)

最新发布
1
供应链采购平台建设难?可能是你没用过这套解决方案
2
人社部印发《数字人社建设行动方案》,数字赋能跑出人社服务“加速度”
3
研究机构对2023年网络安全趋势的三大预测
4
安全为宗,合规为镜|写在《中华人民共和国密码法》施行三周年之际
5
“安满周”开始啦!守护网络信息安全,一定少不了TA
6
国家能源局发布《电力行业网络安全管理办法》,国密算法证书应用迎来快速增长期
7
明年5月1日实施!这项国家标准直指关键信息基础设施安全……
8
全国多地依据《反电信网络诈骗法》实施处罚,如何防诈骗保安全?
9
跟随党的思想指引 共筑网络安全防线
10
Really?这几个行业最容易遭受网络攻击
相关推荐
人社部印发《数字人社建设行动方案》,数字赋能跑出人社服务“加速度”
供应链采购平台建设难?可能是你没用过这套解决方案