继社交媒体平台遭遇一系列安全事故和数据滥用之后,Facebook今天以一种非常独特的方式扩展了其Bug悬赏计划,以增强与其平台集成的第三方应用程序和网站的安全性。
去年,Facebook推出了“数据滥用赏金”计划,奖励任何举报第三方应用程序收集Facebook用户数据并将其传递给恶意方的有效事件的人,违反了Facebook修改后的数据政策。
显然,事实证明,大多数情况下,Facebook用户被滥用的数据首先是由于第三方应用程序或服务存在漏洞或安全漏洞而暴露出来的。
Facebook生态系统包含数以百万计的第三方应用程序,不幸的是,其中很少有应用程序有漏洞泄露程序,也没有为白帽黑客在其代码库中负责任地报告错误提供错误赏金。
由于研究人员和受影响的应用程序开发人员之间的这种沟通差距,Facebook针对第三方应用程序和网站的安全程序直到现在还仅限于“被动地观察漏洞”。
尽管Facebook去年年底已经扩大了针对第三方应用程序的缺陷奖励计划,但该计划仅限于针对Facebook用户的访问令牌(允许用户使用Facebook登录到另一个应用程序)曝光的有效报告提交。
鼓励b/w黑客和开发人员协作的努力
现在,为了鼓励第三方应用程序开发商更加重视应用程序的安全性,并建立漏洞披露计划,Facebook决定自掏腰包向白帽研究人员支付费用,即使应用程序开发商没有自己的悬赏计划。
Facebook说:“尽管这些漏洞与我们自己的代码无关,但我们希望研究人员有一个清晰的渠道来报告这些问题,如果这些问题可能导致我们用户的数据可能被滥用。”
“我们还希望激励研究人员专注于应用程序、网站和bug悬赏计划,否则可能得不到足够的关注,或者可能没有资源来激励bug悬赏社区。”
“通过承诺奖励有关影响Facebook数据的第三方应用程序和网站漏洞的有效报告,我们希望鼓励安全社区与更多应用程序开发人员接触。”
换言之,应用程序开发人员可以利用这个程序,只需建立自己的漏洞披露政策,这将帮助研究人员有资格在他们的代码中发现漏洞,并从Facebook获得奖励。
web应用防火墙
这是因为,提交给Facebook的第三方应用程序漏洞报告只有在研究人员将报告提交给Facebook的Bug悬赏计划时,包括第三方开发者授权的证明,才会被视为有效。
然而,如果第三方开发人员已经有了自己的bug奖励计划,研究人员可以向双方申请奖励。
Facebook将根据报告的漏洞的潜在影响和严重程度发放奖励,最低支付额为500美元。
针对数据滥用的漏洞奖励程序和影响整个生态系统的第三方应用程序是网络安全领域日益增长的趋势。最近,谷歌还扩大了其付费商店悬赏计划,以奖励在任何下载量超过1亿次的Android应用程序中发现漏洞的黑客。
不过,在这种情况下,谷歌负责与应用程序开发者合作,而Facebook的最新计划也是让研究人员直接与第三方开发者合作的一个好办法。
(内容翻译于thehackernews.com)
