Facebook正在把錢放在安全性和隱私將擴(kuò)展其多個(gè)漏洞賞金計(jì)劃

Facebook正在把錢放在安全性和隱私上，周二宣布它將擴(kuò)展其多個(gè)漏洞賞金計(jì)劃，包括針對罕見漏洞的獎金支付。該社交網(wǎng)絡(luò)在一系列博客文章中表示，它將為安全研究人員提供更多方法，以發(fā)現(xiàn)和披露與Facebook集成的第三方應(yīng)用程序和網(wǎng)站中的缺陷。

Facebook的工程安全經(jīng)理Dan Gurfinkel 在一份聲明中說，研究人員將不再僅限于“被動觀察該漏洞” 。

Facebook說，只要第三方授權(quán)研究人員，漏洞賞金獵人現(xiàn)在就可以主動測試這些第三方應(yīng)用程序的安全性。可以將其視為通過觀察來自第三方應(yīng)用程序的流量來發(fā)現(xiàn)錯(cuò)誤與尋找第三方應(yīng)用程序可能濫用您的數(shù)據(jù)的安全研究人員之間的區(qū)別。

Gurfinkel表示：“這一變化大大擴(kuò)大了我們的漏洞賞金社區(qū)可以與我們分享的安全研究范圍，當(dāng)他們在這些外部應(yīng)用程序和網(wǎng)站中發(fā)現(xiàn)潛在的漏洞時(shí)，就會得到回報(bào)。”

獎勵將根據(jù)漏洞的嚴(yán)重性而定，最低支出為$ 500。研究人員將必須提供證明，證明第三方應(yīng)用程序已為漏洞賞金授權(quán)了這些滲透測試。

Facebook 于2018年9月首次宣布了其針對第三方應(yīng)用程序的漏洞賞金計(jì)劃，旨在通過社交網(wǎng)絡(luò)無法控制的不負(fù)責(zé)任的開發(fā)人員泄露人們的個(gè)人數(shù)據(jù)的方式。

從2018年的Cambridge Analytica丑聞開始，第三方應(yīng)用程序一直是Facebook隱私問題的主要原因。開發(fā)人員制作的Facebook應(yīng)用程序?qū)嶋H上是在收集數(shù)據(jù)供Cambridge Analytica的研究人員使用，威脅用戶的隱私并創(chuàng)造了潛在的威脅。政治干預(yù)。

4月，安全研究人員發(fā)現(xiàn)了一個(gè)Facebook信息的開放數(shù)據(jù)庫，該數(shù)據(jù)庫是由一家媒體公司通過社交網(wǎng)絡(luò)上的一個(gè)應(yīng)用程序收集的。

盡管Facebook擁有自己的安全團(tuán)隊(duì)來尋找數(shù)據(jù)竊取應(yīng)用程序，但漏洞賞金也使該公司向大眾開放了搜索。在2018年3月，F(xiàn)acebook首次擴(kuò)展了其漏洞賞金計(jì)劃，并開始將濫用數(shù)據(jù)的應(yīng)用視為安全漏洞。

Bug賞金計(jì)劃是網(wǎng)絡(luò)安全的一種日益增長的趨勢，蘋果等公司為高級別的黑客活動提供了高達(dá)100萬美元的資金。獨(dú)立的安全研究人員搜索攻擊者可以使用的錯(cuò)誤和漏洞，并獲得報(bào)酬以通知公司，而不是將這些漏洞用于惡意目的。

通常，錯(cuò)誤越少，賞金越高。Facebook周二表示，它正在加大對本機(jī)代碼錯(cuò)誤的獎勵 -這些缺陷很難找到，因?yàn)樗鼈儽浑[藏在服務(wù)的深處。

如果發(fā)現(xiàn)并報(bào)告iOS上Facebook Messenger的零點(diǎn)擊漏洞的研究人員將獲得全部漏洞賞金，并且如果他們能夠提供概念驗(yàn)證的話，現(xiàn)在將獲得15,000美元的獎金。零點(diǎn)擊漏洞很少見，因?yàn)樗鼈儾恍枰芎φ呋泳涂梢允艿接绊憽?/p>

Facebook還表示，將把其硬件帶到將于11月舉行的黑客大會Pwn2Own Tokyo。公司經(jīng)常將自己的產(chǎn)品帶到會議上，以便黑客可以在其設(shè)備中發(fā)現(xiàn)漏洞。特斯拉在3月將一輛汽車帶到了Pwn2Own Vancouver，成功的黑客贏得了它，并獲得了35,000加元的獎勵。

Facebook為成功入侵其Portal 設(shè)備提供$ 60,000的獎勵，并為Oculus Quest中的安全漏洞提供$ 40,000的獎勵。