В компании Facebook подвели итоги программы bug bounty, направленной на поиск уязвимостей в движке социальной сети и продуктах сторонних разработчиков, взаимодействующих с ним.

С начала 2018 года этичные хакеры отправили представителям платформы более 17 тыс. отчетов с информацией об ошибках. В результате более 700 человек удостоились вознаграждения. Компания выплатила добровольным помощникам $1,1 млн, а общая сумма бонусов с момента запуска программы в 2011 году превысила $7,5 млн.

В 2018 году Facebook расширила программу конкурса, включив в него приложения сторонних разработчиков, а также увеличив средний размер вознаграждения за сообщение о критических багах. За бреши, которые могут привести ко взлому пользовательских аккаунтов, социальная сеть готова платить до $25 тыс., а в случае, если эксплуатация бага не требует взаимодействия с пользователем — до $40 тыс.

Представители компании сообщили о выплатах исследователю, нашедшему проблему в одном из комплектов разработчика (SDK), применяемых сторонними программами. Этичный хакер обнаружил, что уязвимые инструменты собирают данные токенов авторизации в случае, если аккаунт Facebook используется для аутентификации в других сервисах. Для того чтобы устранить баг, инженерам социальной сети пришлось работать в плотном контакте как с разработчиками SDK, так и с авторами приложений на его основе.

В качестве примера эффективности программы вознаграждения независимых исследователей менеджер по безопасности Facebook Дэн Гурфинкель (Dan Gurfinkel) привел отчет об ошибке в реализации подписок через язык запросов GraphQL. Как утверждает представитель социальной сети, изначально баг, найденный одним из ИБ-специалистов, расценили как незначительный. Он касался возможности получать уведомления о комментариях и лайках к публикации, на доступ к которой у автора запроса нет прав.

Проанализировав уязвимость, аналитики Facebook обнаружили ошибку в алгоритме платформы, которая могла повлиять и на другие типы подписок. Поскольку брешь затрагивала значительно больший объем данных и могла привести к утечкам персональной информации, разработчики социальной сети изменили оценку ее угрозы и выплатили эксперту максимальное вознаграждение.

Эффективная, по мнению Facebook, программа bug bounty не помогла сервису избежать проблем, связанных с утечкой данных. Практически одновременно с публикацией отчета по итогам 2018 года стало известно, что ошибка в API, отвечающем за работу с фото, позволяла сторонним приложениям получать доступ к снимкам из историй, а также к черновикам загруженных, но не опубликованных изображений. Брешь просуществовала 12 дней и была выявлена силами команды внутреннего тестирования продукта.

Категории: Кибероборона, Уязвимости