科技食谱

十周年Facebook Bug奖励计划

大多数IT公司,例如Google和Apple,都已建立了漏洞奖励计划,使他们能够因报告服务漏洞而获得奖励。自2011年以来,Facebook还自2020年开始运营其漏洞赏金计划,这是2020年的10周年纪念。在10周年纪念日,Facebook的安全工程经理Dan Gurfinkel提请注意该计划的历史,现在和将来。

Facebook Bug奖励计划的参与者通过报告未发现的漏洞,为改善Facebook的安全性和隐私做出了贡献。他说,为了迅速解决问题并保护Facebook社区,漏洞赏金计划可以提供帮助,而所获得的奖励将是促进更高质量的安全研究的动机。

在过去的10年中,超过50,000名研究人员参加了该计划,其中1,500名获得了奖励。获得补偿的研究人员数量达到107个国家。一些研究人员已加入Facebook安全团队和工程团队,并继续保护Facebook平台。丹·古平格尔就是其中一个例子。

从2020年的Facebook Bug奖励计划的状态来看,自2011年以来已向Facebook Bug奖励计划报告了13万份报告,其中6900份得到了奖励。 2020年报告的17,000份报告中,超过1,000份有资格获得赔偿。此外,到2020年,来自50多个国家的研究人员获得了超过198万美元的奖励,过去一年的一年薪酬一直创下历史新高。印度,突尼斯和美国是2020年获得补偿的三大国家。

当Facebook审查有关需要解决的问题的报告时,它不仅查看提交的报告的内容,而且还会检查代码根部的区域以更好地理解问题。通过这样的积极研究,它能够发现改进,从而进一步保护用户安全和个人信息。在bug报告计划十周年之际,Guppingel意识到研究人员社区对Facebook保护所做的贡献,并推出了两份报告,帮助发现和解决了重要问题。

其中一份报告来自参与2020年Facebook Bug赏金计划的研究人员,另一份来自Google漏洞研究项目零项目。当团队迅速修补任何错误时,他们会通过后续检查(提供了对问题的自动检测和手动代码检查的结合)提供了额外的保护,并且没有滥用的迹象。

第一份报告报告于2020年初。Selamet Hariyanto发现CDN中的一个错误,该错误为URL已过期的世界各地的Facebook用户提供服务。所报告的错误本身造成的影响很小,并且已被立即修复,但是内部研究团队透露,一个聪明的黑客可以执行远程代码。 Facebook付给他$ 800,000,因为Facebook错误赏金计划根据报告的最大影响来确定赔偿额,即使报告中首先报告的问题受到的影响较小。

第二份报告是Project Zero Team Natalie Silvanovich在2020年秋天报告的即时Messenger漏洞。具体地说,这是一个攻击者可以在进入Android的Messenger应用程序时登录到Messenger并向其他Messenger用户发送消息的漏洞。 。由于存在此漏洞,当对方的设备正在收听,被取消,限制或消失之前,存在拦截语音的风险。为了使这种攻击成为可能,攻击者必须有权与另一方交谈,例如与另一方和Facebook交朋友。它还要求攻击者使用总线工程工具来操纵其Messenger应用程序并发送自定义消息。

在服务器上纠正了所报告的漏洞之后,对Facebook 1:1调用使用相同协议的应用程序也可以解决该漏洞。报告还支付了60万美元,这是考虑到最大影响的第三昂贵的计划。

在2011年成立之初,Facebook Bug奖励计划仅针对网页,但到2020年,它针对移动应用程序,Instagram,WhatsApp和Oculus。随着攻击威胁的逐年增加,据说Facebook将重点放在三件事上。

一是应对新风险的对策。我们正在开发方法来指导和鼓励新的风险领域安全调查,例如应用程序开发人员滥用Facebook数据,可以访问Facebook数据的第三方应用程序或外部网站上的安全漏洞。

其次,提供更好的研究工具。我们计划为社区提供工具,以发现Facebook的错误,并使研究人员更容易获得更多的回报。最近发布的工具(Facebook错误描述语言)还说明,作为此工作的一部分,您可以快速构建测试环境以重现错误。此外,Hacker Plus是一项内部奖励计划,可根据研究人员的贡献进行评估,并提供各种好处,例如向高级研究人员提供的有限邀请,包括奖金,徽章,及早使用预发布的产品和功能,漏洞赏金活动,于2020年10月上市。该公司成立于美国,迄今已支付40,000美元的奖金。

第三,建立研究者网络。我们计划通过黑客事件或参加Facebook Bug报告程序的研究人员会议(BountyCon)建立研究人员网络。相关信息可以在这里找到。

lswcap

lswcap

通过每月的AHC PC和HowPC杂志时代,他在网络IT媒体上观看了“技术时代”,如ZDNet,电子报互联网经理,Consumer Journal Ivers的编辑,TechHolic出版商和Venture Square的编辑。 我很好奇这个仍然充满活力的市场。

Add comment

Follow us

Don't be shy, get in touch. We love meeting interesting people and making new friends.

Most discussed

%d 블로거가 이것을 좋아합니다: