Компания Facebook расширила свою программу по поиску багов в сторонних сервисах, интегрированных с социальной сетью. Теперь исследователи смогут претендовать на награду за ошибки кода, которые обнаружили как методом пассивного наблюдения, так и с помощью специальных утилит.

Как пояснил представитель Facebook Дэн Гурфинкель (Dan Gurfinkel), компания будет рассматривать сообщения о багах только после того, как специалисты сообщат о них создателю уязвимых сервисов. Это позволяет белым хакерам получать деньги дважды — сначала от разработчиков программы, а затем от социальной сети. Минимальное вознаграждение, которое Facebook планирует выплачивать за такие баги, составляет $500, верхний лимит отсутствует.

Обновление снимает ограничение, которое Facebook установила в 2018 году, когда ошибки сторонних приложений впервые были включены в ее программу bug bounty. Тогда вознаграждения выплачивались только за уязвимости, которые были обнаружены без вмешательства в работу сервисов.

Гурфинкель отметил, что обновление bug bounty крупнейшей соцсети привлечет внимание ИБ-специалистов к сервисам небольших компаний. Это поможет повысить безопасность своих продуктов тем разработчикам, которые не могут себе позволить дорогостоящие программы по поиску багов.

По сообщению Facebook, в 2018 году соцсеть выплатила белым хакерам $1,1 млн. В этот период награды удостоились более 700 исследователей, а всего компания получила почти 18 тыс. отчетов о возможных ошибках.

В некоторых случаях Facebook платит за уязвимости, которые формально не подпадают под действие программы. В начале 2019 года вознаграждение в $10 тыс. получили специалисты, обнаружившие баг в протоколе Fizz — он защищает данные веб-сервисов Facebook. Дыра позволяла вызывать критические ошибки в работе социальной сети, включая мобильные приложения.

Категории: Кибероборона, Уязвимости