Zero
Facebook ha esteso i suoi bug bounty schema di offrire ricompense finanziarie per segnalazioni di casi in cui Facebook token di accesso utente sono esposti da servizi di terze parti.
Lunedì, Facebook Security Engineering Manager Dan Gurfinkel hanno rivelato le modifiche, che darà i ricercatori di sicurezza di un minimo di ricompensa di $500 per ogni vulnerabili app o sito segnalato.
Token di accesso permesso di Facebook agli utenti di accedere ad altre applicazioni e sono generati per ogni singola persona, la richiesta di accesso e applicazione. Se questa informazione è trapelata, questo può portare ad una varietà di attacchi, come account e il dirottamento di sessione, il furto di informazioni, o potenzialmente Man-in-The-Middle (MiTM) attacchi.
Di solito, vulnerabilità, che si trovano nei servizi di terze parti o siti web che non sono nell’ambito del bug bounty program. Tuttavia, Facebook ha aggiornato la sua bug bounty Termini di Servizio per includere i casi di token di accesso per utente di esposizione.
CNET: Percorso, un ex Facebook concorrente, viene arrestato nel mese di ottobre
“Accettiamo segnalazioni di tali vulnerabilità, ma solo se il bug è stato scoperto da passivamente la visualizzazione dei dati inviati o dal tuo dispositivo utilizzando l’app o il sito web,” Facebook dice. “Non siete autorizzati a manipolare qualsiasi richiesta trasmessa al sito web o app dal dispositivo in uso o in altro modo interferire con il normale funzionamento del sito web o app in connessione con la presentazione di report.”
Per interrompere il bug bounty program inondati da pilota di piccole dimensioni, e minore apps, il gigante dei social media ha inoltre stabilito che solo le app di terze parti con almeno 50.000 utenti attivi saranno prese in considerazione.
I ricercatori interessati al nuovo bug bounty inoltre sono limitate ai test per conto proprio e deve includere proof-of-concept (PoC) documentazione con le loro relazioni.
TechRepublic: Facebook privacy dei dati scandalo: Un cheat sheet
SQLi, XSS, open redirect, e il permesso di bypass della vulnerabilità non sono accettati.
Se Facebook accetta un rapporto come legittimo, l’azienda si è impegnata a lavorare con il linguaggio sviluppatore o webmaster per risolvere il loro codice.
Dovrebbe uno sviluppatore si rifiutano di risolvere il problema, tuttavia, saranno sospesi dal Facebook della piattaforma fino a quando il bug è stato risolto e di un audit è stato condotto.
“Ci sarà anche automaticamente revocare il token di accesso che potrebbe essere stato compromesso per evitare potenziali abusi, e avviso di chi crediamo di essere colpiti, come appropriato,” l’esecutivo dice.
Vedi anche: Facebook patch critiche server remoto legata all’esecuzione di codice
Facebook bug bounty oltre basa su di un programma lanciato nel mese di aprile, che premia i ricercatori in grado di trovare casi di abuso da parte di sviluppatori sulla piattaforma. Il gigante tecnologico ha creato il regime in risposta a Cambridge Analytica scandalo, in cui le informazioni appartenenti a 87 milioni di Facebook gli utenti sono raccolti e condivisi senza il suo consenso.
Precedente e relativa copertura
Perché Facebook è in grado di fermare la sua propria discesa Facebook svela strumento per risolvere automaticamente i bug di Facebook “war room” caccia e distrugge elezione ingerenza, di false notizie
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0