Представители социальной сети Facebook объявили, что увеличивают вознаграждение, которое с 2011 года выплачивается ИБ-исследователям за найденные уязвимости. Теперь «белые» хакеры смогут получить $40 тыс. за описание способа взлома учетных записей без привлечения пользователя. Если минимальное взаимодействие с хозяином аккаунта все же потребуется, то награда составит $25 тыс. Такие условия будут действовать и для других продуктов компании — WhatsApp, Instagram и Oculus.

При этом исследователям не придется раскрывать, как именно они обошли защиту, в которой задействован механизм Link Shim, предотвращающий переходы по сомнительным ссылкам. После каждого клика по внешнему URL, Link Shim сверяется со списком вредоносных и фишинговых сайтов, чтобы убедиться, что пользователя не перенаправили на подозрительный ресурс. Кроме того, он сканирует контент в почтовой рассылке Facebook на наличие вредоносного содержимого.

Социальную сеть интересуют любые ошибки, которые могут привести к захвату учетных записей пользователей, вне зависимости от того, в какой форме это произойдет — прямая кража данных, утечка маркеров доступа или возможность подключения к текущей сессии.

«Хоть денежное вознаграждение может и не быть главной целью для багхантеров, мы считаем, что оно по-прежнему стимулирует наших «белых» хакеров тратить время на поиски уязвимостей», — говорится в официальном заявлении на странице, посвященной bug-bounty-программе компании.

В конце сентября социальная сеть пострадала от утечки данных, которая затронула 90 млн человек. При краже злоумышленники воспользовались недостатками в функции «Посмотреть как…», которые позволили сгенерировать токены доступа к приложению и аккаунту.

«Наша цель — убедиться, чтобы об уязвимостях, подобных той, что обнаружилась в сентябре, нам сообщали со всей ответственностью и как можно скорее», — отметили представители Facebook.

Категории: Кибероборона