Facebook正在把錢放在安全性和隱私將擴展其多個漏洞賞金計劃

Facebook正在把錢放在安全性和隱私上，周二宣布它將擴展其多個漏洞賞金計劃，包括針對罕見漏洞的獎金支付。該社交網(wǎng)絡在一系列博客文章中表示，它將為安全研究人員提供更多方法，以發(fā)現(xiàn)和披露與Facebook集成的第三方應用程序和網(wǎng)站中的缺陷。

Facebook的工程安全經(jīng)理Dan Gurfinkel 在一份聲明中說，研究人員將不再僅限于“被動觀察該漏洞” 。

Facebook說，只要第三方授權研究人員，漏洞賞金獵人現(xiàn)在就可以主動測試這些第三方應用程序的安全性。可以將其視為通過觀察來自第三方應用程序的流量來發(fā)現(xiàn)錯誤與尋找第三方應用程序可能濫用您的數(shù)據(jù)的安全研究人員之間的區(qū)別。

Gurfinkel表示：“這一變化大大擴大了我們的漏洞賞金社區(qū)可以與我們分享的安全研究范圍，當他們在這些外部應用程序和網(wǎng)站中發(fā)現(xiàn)潛在的漏洞時，就會得到回報。”

獎勵將根據(jù)漏洞的嚴重性而定，最低支出為$ 500。研究人員將必須提供證明，證明第三方應用程序已為漏洞賞金授權了這些滲透測試。

Facebook 于2018年9月首次宣布了其針對第三方應用程序的漏洞賞金計劃，旨在通過社交網(wǎng)絡無法控制的不負責任的開發(fā)人員泄露人們的個人數(shù)據(jù)的方式。

從2018年的Cambridge Analytica丑聞開始，第三方應用程序一直是Facebook隱私問題的主要原因。開發(fā)人員制作的Facebook應用程序實際上是在收集數(shù)據(jù)供Cambridge Analytica的研究人員使用，威脅用戶的隱私并創(chuàng)造了潛在的威脅。政治干預。

4月，安全研究人員發(fā)現(xiàn)了一個Facebook信息的開放數(shù)據(jù)庫，該數(shù)據(jù)庫是由一家媒體公司通過社交網(wǎng)絡上的一個應用程序收集的。

盡管Facebook擁有自己的安全團隊來尋找數(shù)據(jù)竊取應用程序，但漏洞賞金也使該公司向大眾開放了搜索。在2018年3月，F(xiàn)acebook首次擴展了其漏洞賞金計劃，并開始將濫用數(shù)據(jù)的應用視為安全漏洞。

Bug賞金計劃是網(wǎng)絡安全的一種日益增長的趨勢，蘋果等公司為高級別的黑客活動提供了高達100萬美元的資金。獨立的安全研究人員搜索攻擊者可以使用的錯誤和漏洞，并獲得報酬以通知公司，而不是將這些漏洞用于惡意目的。

通常，錯誤越少，賞金越高。Facebook周二表示，它正在加大對本機代碼錯誤的獎勵 -這些缺陷很難找到，因為它們被隱藏在服務的深處。

如果發(fā)現(xiàn)并報告iOS上Facebook Messenger的零點擊漏洞的研究人員將獲得全部漏洞賞金，并且如果他們能夠提供概念驗證的話，現(xiàn)在將獲得15,000美元的獎金。零點擊漏洞很少見，因為它們不需要受害者互動就可以受到影響。

Facebook還表示，將把其硬件帶到將于11月舉行的黑客大會Pwn2Own Tokyo。公司經(jīng)常將自己的產(chǎn)品帶到會議上，以便黑客可以在其設備中發(fā)現(xiàn)漏洞。特斯拉在3月將一輛汽車帶到了Pwn2Own Vancouver，成功的黑客贏得了它，并獲得了35,000加元的獎勵。

Facebook為成功入侵其Portal 設備提供$ 60,000的獎勵，并為Oculus Quest中的安全漏洞提供$ 40,000的獎勵。