Facebook正在把錢放在安全性和隱私將擴(kuò)展其多個(gè)漏洞賞金計(jì)劃

Facebook正在把錢放在安全性和隱私上，周二宣布它將擴(kuò)展其多個(gè)漏洞賞金計(jì)劃，包括針對(duì)罕見(jiàn)漏洞的獎(jiǎng)金支付。該社交網(wǎng)絡(luò)在一系列博客文章中表示，它將為安全研究人員提供更多方法，以發(fā)現(xiàn)和披露與Facebook集成的第三方應(yīng)用程序和網(wǎng)站中的缺陷。

Facebook的工程安全經(jīng)理Dan Gurfinkel 在一份聲明中說(shuō)，研究人員將不再僅限于“被動(dòng)觀察該漏洞” 。

Facebook說(shuō)，只要第三方授權(quán)研究人員，漏洞賞金獵人現(xiàn)在就可以主動(dòng)測(cè)試這些第三方應(yīng)用程序的安全性?？梢詫⑵湟暈橥ㄟ^(guò)觀察來(lái)自第三方應(yīng)用程序的流量來(lái)發(fā)現(xiàn)錯(cuò)誤與尋找第三方應(yīng)用程序可能濫用您的數(shù)據(jù)的安全研究人員之間的區(qū)別。

Gurfinkel表示：“這一變化大大擴(kuò)大了我們的漏洞賞金社區(qū)可以與我們分享的安全研究范圍，當(dāng)他們?cè)谶@些外部應(yīng)用程序和網(wǎng)站中發(fā)現(xiàn)潛在的漏洞時(shí)，就會(huì)得到回報(bào)。”

獎(jiǎng)勵(lì)將根據(jù)漏洞的嚴(yán)重性而定，最低支出為$ 500。研究人員將必須提供證明，證明第三方應(yīng)用程序已為漏洞賞金授權(quán)了這些滲透測(cè)試。

Facebook 于2018年9月首次宣布了其針對(duì)第三方應(yīng)用程序的漏洞賞金計(jì)劃，旨在通過(guò)社交網(wǎng)絡(luò)無(wú)法控制的不負(fù)責(zé)任的開(kāi)發(fā)人員泄露人們的個(gè)人數(shù)據(jù)的方式。

從2018年的Cambridge Analytica丑聞開(kāi)始，第三方應(yīng)用程序一直是Facebook隱私問(wèn)題的主要原因。開(kāi)發(fā)人員制作的Facebook應(yīng)用程序?qū)嶋H上是在收集數(shù)據(jù)供Cambridge Analytica的研究人員使用，威脅用戶的隱私并創(chuàng)造了潛在的威脅。政治干預(yù)。

4月，安全研究人員發(fā)現(xiàn)了一個(gè)Facebook信息的開(kāi)放數(shù)據(jù)庫(kù)，該數(shù)據(jù)庫(kù)是由一家媒體公司通過(guò)社交網(wǎng)絡(luò)上的一個(gè)應(yīng)用程序收集的。

盡管Facebook擁有自己的安全團(tuán)隊(duì)來(lái)尋找數(shù)據(jù)竊取應(yīng)用程序，但漏洞賞金也使該公司向大眾開(kāi)放了搜索。在2018年3月，F(xiàn)acebook首次擴(kuò)展了其漏洞賞金計(jì)劃，并開(kāi)始將濫用數(shù)據(jù)的應(yīng)用視為安全漏洞。

Bug賞金計(jì)劃是網(wǎng)絡(luò)安全的一種日益增長(zhǎng)的趨勢(shì)，蘋果等公司為高級(jí)別的黑客活動(dòng)提供了高達(dá)100萬(wàn)美元的資金。獨(dú)立的安全研究人員搜索攻擊者可以使用的錯(cuò)誤和漏洞，并獲得報(bào)酬以通知公司，而不是將這些漏洞用于惡意目的。

通常，錯(cuò)誤越少，賞金越高。Facebook周二表示，它正在加大對(duì)本機(jī)代碼錯(cuò)誤的獎(jiǎng)勵(lì) -這些缺陷很難找到，因?yàn)樗鼈儽浑[藏在服務(wù)的深處。

如果發(fā)現(xiàn)并報(bào)告iOS上Facebook Messenger的零點(diǎn)擊漏洞的研究人員將獲得全部漏洞賞金，并且如果他們能夠提供概念驗(yàn)證的話，現(xiàn)在將獲得15,000美元的獎(jiǎng)金。零點(diǎn)擊漏洞很少見(jiàn)，因?yàn)樗鼈儾恍枰芎φ呋?dòng)就可以受到影響。

Facebook還表示，將把其硬件帶到將于11月舉行的黑客大會(huì)Pwn2Own Tokyo。公司經(jīng)常將自己的產(chǎn)品帶到會(huì)議上，以便黑客可以在其設(shè)備中發(fā)現(xiàn)漏洞。特斯拉在3月將一輛汽車帶到了Pwn2Own Vancouver，成功的黑客贏得了它，并獲得了35,000加元的獎(jiǎng)勵(lì)。

Facebook為成功入侵其Portal 設(shè)備提供$ 60,000的獎(jiǎng)勵(lì)，并為Oculus Quest中的安全漏洞提供$ 40,000的獎(jiǎng)勵(lì)。