Noll
Facebook har utökat sin bug bounty system att erbjuda finansiella belöningar för rapporter om fall där Facebook-användaren tillgång polletter exponeras av tjänster från tredje part.
På måndag, Facebook Security Engineering Manager Dan Gurfinkel visade de förändringar som kommer att ge säkerhet forskare ett minimum belöning på $500 för varje utsatta app eller hemsida rapporteras.
Åtkomsttokens tillstånd Facebook-användare att logga in på andra appar och genereras för varje enskild person, begäran om tillgång och tillämpning. Om denna information läckt ut, detta kan leda till en rad av attacker, till exempel konto och sessionskapning, information stöld eller potentiella Man-in-The-Middle (MiTM) attacker.
Vanligtvis, sårbarheter som är bosatta i tredje parts tjänster eller webbplatser som inte omfattas av bug bounty program. Men Facebook har nu uppdaterat sin bug bounty Villkor för Tjänsten till att även omfatta fall av användaren åtkomst-token exponering.
CNET: Väg, en före detta Facebook-konkurrent, är att stänga i oktober
“Vi kommer att ta emot rapporter om sådana sårbarheter, men endast om felet upptäcks genom att passivt visa den data som skickas till eller från din enhet samtidigt som du använder app eller webbplats,” Facebook säger. “Det är inte tillåtet att manipulera någon begäran skickas till appen eller webbplatsen från din enhet eller på annat sätt störa den ordinarie fungerande app eller webbplats i samband med att du skickar in din rapport.”
För att stoppa bug bounty programmet blir överösta med små, pilot, och mindre appar, sociala medier jätte har också anges att endast appar från tredje part med minst 50 000 aktiva användare kommer att beaktas.
Forskarna är intresserade av den nya bug bounty dessutom är begränsad till ett test med sitt eget konto och måste innehålla proof-of-concept (PoC) dokumentation med sina rapporter.
TechRepublic: Facebook integritet skandal: En fusklapp
SQLi, XSS, öppna omdirigeringar, och tillstånd-bypass sårbarheter är inte accepterat.
Om Facebook accepterar en rapport som legitima, företaget har åtagit sig att arbeta med negativt utvecklare eller den webbansvariga för att fixa sin kod.
Bör en utvecklare vägrar att åtgärda problemet, men de kommer att vara avstängd från Facebook-plattformen tills felet har åtgärdats och en säkerhetsanalys har genomförts.
“Vi kommer också att automatiskt återkalla åtkomst tokens som kan ha äventyrats för att förhindra eventuellt missbruk, och varna dem som vi tror att påverkas, när så är lämpligt,” executive säger.
Se också: Facebook patchar av kritisk server fjärrkörning av kod
Facebook är bug bounty dessutom bygger på ett program som lanserades i April som belönar forskare kunna hitta fall av missbruk av personuppgifter av utvecklare på plattformen. Tech jätten skapade ordning i svar till Cambridge Analytica skandal, i vilken information som hör till 87 miljoner Facebook-användare var som samlas in och delas utan samtycke.
Tidigare och relaterade täckning
Varför Facebook är maktlösa att stoppa sin egen härkomst Facebook lanserar verktyg för att automatiskt åtgärda buggar Facebook ‘s” war room ” jagar och förstör valet att lägga sig, falska nyheter
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0