Не прошло и двух месяцев с начала года, а Facebook объявила о верификации более 100 багов, присланных по программе наград, что наглядно показывает растущий интерес к подобным программам.

«Объем присылаемых нам отчетов высок как никогда, и исследователи находят все более интересные баги», — отметил Коллин Грин (Collin Greene), инженер по безопасности в Facebook.

На днях социальная сеть опубликовала отчет о работе программы за 2014 год. Особенно впечатляет в нем следующая цифра: 61% всех подтвержденных уязвимостей была присвоена категория высокой опасности; этот показатель на 49% превысил аналогичный за 2013 год.

В 2014 году Facebook совокупно получила 17 011 отчетов, на 16% больше, чем в предыдущем году, и выплатила более $1,3 млн 321 исследователю при среднем размере вознаграждения $1,8 тыс. При этом пять самых активных участников программы суммарно получили более $250 тыс. За несколько лет существования программы (с 2011 года) Facebook совокупно выплатила более $3 млн.

Во время своего выступления на саммите ИБ-аналитиков (Kaspersky Security Analyst Summit) в Канкуне (Мексика) главный стратег интернет-проекта Hacker One Кейти Муссурис (Katie Moussouris) подчеркнула важность интеграции Bug Bounty с циклом разработки ПО. Она также подчеркнула важность стратегического подхода к подобным программам и порекомендовала не ограничиваться поиском и устранением единичных уязвимостей, а бороться с целыми классами, создавая эффективные защитные решения.

В отчете Facebook отмечено, что программа Bug Bounty помогла обнаружить ряд серьезных уязвимостей, в том числе скрытые входные параметры, вызывающие проблемы с выходным потоком.

«Мы устранили эту, а также ряд других уязвимостей и постарались исключить дублирование параметров, чтобы подобные проблемы больше не повторялись», — заявил Грин.

Эксперт также привел в пример ситуацию с наследными вызовами REST API, которые из-за некорректных настроек конфигурации могли быть сделаны от лица любого пользователя соцсети. По словам Грина, атакующему нужен лишь ID пользователя, который можно узнать в его профиле или же получить через Graph API.

Facebook стабильно вкладывала средства в свою программу наград за баги. Осенью прошлого года компания объявила, что запускает программу мотивации поиска багов в коде рекламного ПО. В частности, Facebook надеялась получить дополнительную поддержку в поиске уязвимостей в коде рекламного интерфейса, в том числе в Ads Manager и Power Editor, позволяющих пользователям редактировать и загружать рекламные блоки. Дело в том, что в этих инструментах обнаружился ряд проблем с работой системы разрешений. Проблемным оказался также и рекламный API.

Более года назад Facebook выплатила бразильскому исследователю Режинальдо Силве (Reginaldo Silva) рекордную сумму $33,5 тыс. за обнаружение в реализации OpenID уязвимости, открывающей возможность для проведения XXE-атаки.

Категории: Кибероборона, Уязвимости