Nul
Facebook har udvidet sin bug bounty-ordningen til at tilbyde finansielle belønninger til rapporter om tilfælde, hvor Facebook-bruger adgang møntefterligninger, der er udsat af tredjeparts-tjenester.
Mandag, Facebook Security Engineering Manager Dan Gurfinkel afslørede de ændringer, som vil give sikkerhed forskere et minimum belønning af $500 for hver sårbare app eller hjemmeside rapporterede.
Access tokens tillade, at Facebook-brugere til at logge ind i andre programmer, og som er genereret for hver enkelt person, anmodning om adgang og anvendelse. Hvis disse oplysninger er lækket, kan dette føre til en række angreb, såsom konto og kapring af sessionen, tyveri af information, eller potentielt Man-in-The-Middle (MiTM) angreb.
Normalt, sårbarheder, som opholde sig i tredje-part tjenester eller hjemmesider er ikke omfattet af bug bounty program. Men Facebook har nu opdateret sin bug bounty Form af Service til også at omfatte tilfælde af bruger adgang token eksponering.
CNET: Sti, en tidligere Facebook konkurrent, er ved at lukke i oktober
“Vi vil acceptere rapporter om sådanne sårbarheder, men kun hvis fejlen er opdaget ved passivt at se de data, der er sendt til eller fra enheden, mens du bruger app eller hjemmeside,” Facebook siger. “Du er ikke tilladt at manipulere enhver anmodning sendt til app eller hjemmeside fra din enhed eller på anden måde forstyrre den almindelige velfungerende app eller hjemmeside i forbindelse med afgivelse af din rapport.”
For at stoppe bug bounty program bliver oversvømmet med små, pilot, og mindre apps, sociale medie-gigant har også fastsat, at kun tredjeparts-apps, som med mindst 50.000 aktive brugere, vil blive overvejet.
Forskere, der er interesserede i den nye bug bounty desuden er begrænset til test med deres egen konto, og den skal indeholde proof-of-concept (PoC) dokumentation med deres rapporter.
TechRepublic: Facebook data privacy skandale: Et cheat sheet
SQLi, XSS, åben omdirigering, og tilladelse-bypass sårbarheder er ikke accepteret.
Hvis Facebook accepterer en rapport som legitime, virksomheden har forpligtet sig til at arbejde med de ramte udvikler eller webmaster for at lave deres kode.
Skal en udvikler nægte at løse problemet, men de vil blive suspenderet fra den Facebook-platformen, indtil fejlen er løst, og en sikkerhed revision er blevet gennemført.
“Vi vil også automatisk tilbagekald adgang for poletter, der kan have været i fare for at forhindre potentielt misbrug, og advare dem, vi mener at være påvirket, som det er relevant,” siger administrerende.
Se også: Facebook patches kritiske server fjernkørsel af programkode sårbarhed
Facebook ‘ s bug bounty desuden bygger på et program, der blev lanceret i April, som belønner forskere i stand til at finde tilfælde af misbrug af data, som udviklerne på platformen. Tech giant skabt ordningen i svar til Cambridge Analytica skandale, i hvilke oplysninger, der hører til 87 millioner Facebook-brugere indsamles og udveksles uden samtykke.
Tidligere og relaterede dækning
Hvorfor Facebook er ude af stand til at stoppe sin egen afstamning Facebook lancerer værktøj til automatisk at lave fejl Facebook ‘s” war room’ jagter og ødelægger valg at blande sig, falske nyheder
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre
0