Facebook готовий платити по $500 за знайдену в додатку або на сайті вразливість
Facebook готовий платити по $500 за знайдену в додатку або на сайті вразливість
Facebook заявила про розширення програми винагород за знаходження помилок, пов'язаних із шахрайством у стосовно маркерів доступу.
При авторизації в програмі через Facebook користувач отримує унікальний маркер доступу. Потрапивши в руки зловмисника, такий маркер може бути використаний на основі дозволів, встановлених його власником.
Тепер у проект залучені сторонні сайти та додатки, а саме:
- Instagram;
- Internet.org / Free Basics;
- Oculus;
- Onavo;
- платформи Open Source (на базі Facebook);
- WhatsApp.
Як повідомити про вразливість?
Розробники Facebook оновили умови надання послуг, у яких включили основні критерії для подання скарги на помилку. Основне з ніх— у скарзі має бути чітке підтвердження, що демонструє спосіб нечесного отримання маркерів. Претензію можна скласти, звернувшись до служби безпеки Facebook.
Які проблеми включені в програму?
Команда Facebook готова платити по $500 за знайдену в додатку або на сайті вразливість, якщо звіт по ній складений грамотно. Скарги прийматимуться лише у випадку, якщо користувач знайшов помилку за допомогою пасивного перегляду інформації і не її використовував у своїх цілях.
Також компанія встановила перелік проблем, на які дана програма не поширюється:
- спам та техніки соціальної інженерії;
- атаки типу «відмова в обслуговуванні»;
- впровадження контенту, якщо наявність ризику не доведено;
- уразливості системи безпеки в сторонніх додатках і на сторонніх сайтах, інтегрованих з Facebook (включаючи більшу частину сторінок на сайті apps.facebook.com);
- виконання скриптів на доменах-«пісочницях» (наприклад, fbrell.com або fbsbx.com).
Піднімаючи питання безпеки та оперативності розв'язання проблем, розробники Facebook створили інструмент SapFix, що автоматично генерує і впроваджує патчі. Розробка заснована на штучному інтелекті, який самостійно знаходить у проекті помилки та пропонує варіанти виправлення.