Facebook现在向黑客支付报告第三方应用程序安全漏洞的费用

发布时间:2019-10-17 11:06:00

  继社交媒体平台遭遇一系列安全事故和数据滥用之后,Facebook今天以一种非常独特的方式扩展了其Bug悬赏计划,以增强与其平台集成的第三方应用程序和网站的安全性。

  去年,Facebook推出了“数据滥用赏金”计划,奖励任何举报第三方应用程序收集Facebook用户数据并将其传递给恶意方的有效事件的人,违反了Facebook修改后的数据政策。

  显然,事实证明,大多数情况下,Facebook用户被滥用的数据首先是由于第三方应用程序或服务存在漏洞或安全漏洞而暴露出来的。


  Facebook生态系统包含数以百万计的第三方应用程序,不幸的是,其中很少有应用程序有漏洞泄露程序,也没有为白帽黑客在其代码库中负责任地报告错误提供错误赏金。

  由于研究人员和受影响的应用程序开发人员之间的这种沟通差距,Facebook针对第三方应用程序和网站的安全程序直到现在还仅限于“被动地观察漏洞”。

  尽管Facebook去年年底已经扩大了针对第三方应用程序的缺陷奖励计划,但该计划仅限于针对Facebook用户的访问令牌(允许用户使用Facebook登录到另一个应用程序)曝光的有效报告提交。

  鼓励b/w黑客和开发人员协作的努力

  现在,为了鼓励第三方应用程序开发商更加重视应用程序的安全性,并建立漏洞披露计划,Facebook决定自掏腰包向白帽研究人员支付费用,即使应用程序开发商没有自己的悬赏计划。

  Facebook说:“尽管这些漏洞与我们自己的代码无关,但我们希望研究人员有一个清晰的渠道来报告这些问题,如果这些问题可能导致我们用户的数据可能被滥用。”

  “我们还希望激励研究人员专注于应用程序、网站和bug悬赏计划,否则可能得不到足够的关注,或者可能没有资源来激励bug悬赏社区。”

  “通过承诺奖励有关影响Facebook数据的第三方应用程序和网站漏洞的有效报告,我们希望鼓励安全社区与更多应用程序开发人员接触。”

  换言之,应用程序开发人员可以利用这个程序,只需建立自己的漏洞披露政策,这将帮助研究人员有资格在他们的代码中发现漏洞,并从Facebook获得奖励。

  web应用防火墙

  这是因为,提交给Facebook的第三方应用程序漏洞报告只有在研究人员将报告提交给Facebook的Bug悬赏计划时,包括第三方开发者授权的证明,才会被视为有效。

  然而,如果第三方开发人员已经有了自己的bug奖励计划,研究人员可以向双方申请奖励。

  Facebook将根据报告的漏洞的潜在影响和严重程度发放奖励,最低支付额为500美元。

  针对数据滥用的漏洞奖励程序和影响整个生态系统的第三方应用程序是网络安全领域日益增长的趋势。最近,谷歌还扩大了其付费商店悬赏计划,以奖励在任何下载量超过1亿次的Android应用程序中发现漏洞的黑客。

  不过,在这种情况下,谷歌负责与应用程序开发者合作,而Facebook的最新计划也是让研究人员直接与第三方开发者合作的一个好办法。

  (内容翻译于thehackernews.com)

最新发布
1
《贵州省人力资源社会保障厅关于推动落实〈电子劳动合同订立指引〉有关工作的通知》政策解读
2
惊!91%的工业企业容易遭受网络攻击
3
9月1日,《电信和互联网用户个人信息保护规定》颁布8周年啦
4
来啦!沪上首份《电子劳动合同操作指引》抢先出炉
5
《中华人民共和国个人信息保护法》审议通过
6
国务院发布《关键信息基础设施安全保护条例》 9月1日起施行
7
规范“人脸识别”,为盗刷者戴上“紧箍咒”
8
谁说电信诈骗“雨你无瓜”?受骗对象90后占6成!
9
《网络安全审查办法(修订草案征求意见稿)》解读
10
划重点!《人民法院在线诉讼规则》正在施行中
相关推荐
5.33亿Facebook用户的电话号码在黑客论坛被泄露
企业数字化转型,数据安全是关键!
ParkMobile泄密事件暴露了2100万用户的车牌数据和手机号码
医疗保健网络钓鱼事件导致大规模数据泄露
《网络安全审查办法(修订草案征求意见稿)》解读
Cyberhouse数据泄露:130万名用户信息被免费挂到网上
《贵州省人力资源社会保障厅关于推动落实〈电子劳动合同订立指引〉有关工作的通知》政策解读
9月1日,《电信和互联网用户个人信息保护规定》颁布8周年啦
网络钓鱼在2021年第一季度创新高
不知道如何“不见面”招投标?天威诚信来帮你!