Facebook擴(kuò)大了其漏洞賞金計(jì)劃的范圍 增加了對第三方應(yīng)用程序的支持

Facebook正在采取預(yù)防措施，并確保像Cambridge Analytica丑聞這樣的情況或去年困擾其平臺的安全問題不會再次困擾它。這家社交媒體巨頭擴(kuò)大了其漏洞賞金計(jì)劃的范圍，包括對第三方應(yīng)用程序的支持。

去年，F(xiàn)acebook啟動了一項(xiàng)全行業(yè)的漏洞賞金計(jì)劃，該計(jì)劃將獎勵那些發(fā)現(xiàn)第三方應(yīng)用程序和網(wǎng)站中存在不當(dāng)暴露Facebook用戶訪問令牌漏洞的研究人員。現(xiàn)在，該公司正在擴(kuò)大該計(jì)劃的范圍。“今天，我們正在擴(kuò)大該程序的范圍，以獎勵通過與第三方集成的第三方應(yīng)用程序和網(wǎng)站中有效的錯誤報(bào)告，這些錯誤報(bào)告是通過第三方授權(quán)的主動筆測試發(fā)現(xiàn)的，而不是僅通過被動觀察漏洞來發(fā)現(xiàn)的”，F(xiàn)acebook的安全工程經(jīng)理Dan Gurfinkel在帖子中寫道。

但是，為了有資格從Facebook接收漏洞賞金或?qū)⑵浒l(fā)現(xiàn)提交給社交媒體巨頭，安全研究人員需要遵守第三方的漏洞披露或漏洞賞金計(jì)劃。安全研究人員在將發(fā)現(xiàn)提交給Facebook才有資格獲得該程序時，還需要提交第三方授予的授權(quán)證明。根據(jù)發(fā)現(xiàn)的漏洞，F(xiàn)acebook隨后將向安全研究人員的開發(fā)人員獎勵500美元(約合35,600盧比)的獎勵點(diǎn)。

“我們還希望激勵研究人員專注于應(yīng)用，網(wǎng)站和錯誤賞金計(jì)劃，否則這些應(yīng)用程序，網(wǎng)站和錯誤賞金計(jì)劃可能得不到足夠的重視，或者可能沒有資源來激勵錯誤賞金社區(qū)。通過這種擴(kuò)展，我們相信，我們不僅可以增強(qiáng)安全性Facebook用戶，同時也涵蓋了更大的應(yīng)用開發(fā)者生態(tài)系統(tǒng)。” Facebook高管在博客中寫道。

有趣的是，這一宣布是在Facebook宣布針對本機(jī)錯誤報(bào)告的其他獎勵的第二天。這家社交媒體巨頭在博客中表示，它將獎勵15,000美元(約合10,67,917盧比)的獎勵，以證明其在Messenger中執(zhí)行0單擊遠(yuǎn)程代碼執(zhí)行的概念證明，以及獎勵9,000美元(約合6,40,750盧比)的證明。通過在寫入內(nèi)存時崩潰在地址0x41414141上或在PC寄存器中崩潰為0x41414141的方式，展示了WhatsApp for Android中潛在的可利用性。