Facebook расширила программу вознаграждений за поиск ошибок

Facebook заявила о расширении программы вознаграждений за нахождение ошибок, связанных с мошенничеством в отношении маркеров доступа.

При авторизации в приложении через Facebook пользователь получает уникальный маркер доступа. Попав в руки злоумышленника, такой маркер может быть использован на основе разрешений, установленных его владельцем.

Теперь в проект вовлечены сторонние сайты и приложения, а именно:

• Instagram;
• Internet.org / Free Basics;
• Oculus;
• Onavo;
• платформы Open Source (на базе Facebook);
• WhatsApp.

Как сообщить об уязвимости?

Разработчики Facebook обновили условия предоставления услуг, в которых включили основные критерии для подачи жалобы на ошибку. Основное из них — в жалобе должно быть четкое подтверждение, демонстрирующее способ нечестного получения маркеров. Претензию можно составить, обратившись в службу безопасности Facebook.

Какие проблемы включены в программу?

Команда Facebook готова платить по 500 $ за найденную в приложении или на сайте уязвимость, если отчет по ней составлен грамотно. Жалобы будут приниматься только в том случае, если пользователь нашёл ошибку с помощью пассивного просмотра информации и никак её не использовал в своих целях.

Также компания установила перечень проблем, на которые данная программа не распространяется:

• спам и техники социальной инженерии;
• атаки типа «отказ в обслуживании»;
• внедрение контента, если наличие риска не доказано;
• уязвимости системы безопасности в сторонних приложениях и на сторонних сайтах, интегрированных с Facebook (включая большую часть страниц на сайте apps.facebook.com);
• выполнение скриптов на доменах-«песочницах» (например, fbrell.com или fbsbx.com).

Поднимая вопрос безопасности и оперативности решения проблем, разработчики Facebook создали инструмент SapFix, автоматически генерирующий и внедряющий патчи. Разработка основана на искусственном интеллекте, который самостоятельно находит в проекте ошибки и предлагает варианты исправления.