По сообщениям Facebook, за пять лет соцсеть выплатила более $5 млн исследователям, участвующим в программе Bug Bounty.

Эту новость, а также некоторые результаты программы Facebook за текущий год соцсеть опубликовала в корпоративном блоге.

Часть премиального фонда, а именно $611 741, была выплачена 149 ИБ-исследователям уже в этом году. Джоуи Тайсон (Joey Tyson), ИБ-инженер команды, отвечающей за работу Bug Bounty, рассказал, что в этом году в Facebook наблюдали резкое увеличение количества поданных отчетов — около 9 тыс. с января по июнь. Для сравнения: за весь 2015 год количество заявок составило 13 233.

Чаще всего награды получали эксперты из Индии, США и Мексики, уточнил Тайсон.

В программу на протяжении нескольких лет вносились изменения и улучшения, рассказал Тайсон. Теперь, когда Facebook присылает уведомление о выплате премии, компания также подробно объясняет, как был определен размер выплаты.

«Мы выносим решение, соизмеряя реальный (а не предположительный) риск, который несет баг, а также объясняем, чем обосновали выплату именно в таком размере», — объясняет процесс Тайсон.

Например, выплатив $16 тыс. Аруну Сурешкумару (Arun Sureshkumar) из Индии, команда в лице Нила Пула (Neal Poole) пояснила, каким образом был вычислен размер премии. Пул сказал, что баг позволял перехватить контроль над чужой страницей; также в процессе был исправлен другой баг, что способствовало увеличению премии.

Facebook — одна из первых компаний, учредивших Bug Bounty; соцсеть последовала примеру Mozilla и Google в августе 2011 года. Сначала на Facebook обрушились с критикой, так как размеры выплат были намного меньше, чем у других компаний. За баги вроде ошибок в скрипте или возможности удаленного внедрения кода соцсеть выплачивала по $500.

Со временем компания увеличила размеры выплат, что привело к резкому росту количества поданных заявок. В 2013 году Facebook выплатила $1,5 млн 330 исследователям, а в 2014-м — $1,3 млн 321 участнику. Как уточнили в компании, малое количество «дорогих» багов вроде XSS- и CSRF-уязвимостей стало причиной снижения общего призового фонда в 2015 году. Премии на сумму почти $1 млн были выплачены 210 исследователям. Если тенденция этого года продолжится, 2016-й может стать рекордным по количеству выплаченных премий или по крайней мере приблизиться по этому показателю к результатам 2014 года.

С начала 2016 года инициатива распространяется и на мессенджер WhatsApp, который Facebook приобрела в 2014 году за $19 млн. Кроме Instagram, Facebook и Facebook Messenger в программе участвуют менее известные продукты — Oculus, Atlas и открытый инструмент детектирования osquery на базе SQL.

В феврале компания выплатила $10 тыс. 10-летнему мальчику из Финляндии за обнаружение бага в API Instagram — сервиса, который Facebook приобрела в 2012 году за $1 млрд. Яни, герой истории, смог использовать баг для удаления комментариев из любого аккаунта.

Также в марте премию $15 тыс. получил исследователь, обнаруживший уязвимость в механизме сброса пароля в 1,1 млрд аккаунтов. В июне соцсеть выплатила неназванную сумму за баг в Facebook Messenger, который позволял менять содержимое в чатах.

Категории: Уязвимости