Виммельбух, 4, перетяжка
Виммельбух, 4, перетяжка
Виммельбух, 4, перетяжка

Facebook расширила программу вознаграждений за поиск ошибок

Новости

Теперь в программе участвуют сторонние сайты, приложения и сервисы, принадлежащие Facebook. Их пользователи также смогут сообщить об обнаружении уязвимости.

603 открытий606 показов
Facebook расширила программу вознаграждений за поиск ошибок

Facebook заявила о расширении программы вознаграждений за нахождение ошибок, связанных с мошенничеством в отношении маркеров доступа.

При авторизации в приложении через Facebook пользователь получает уникальный маркер доступа. Попав в руки злоумышленника, такой маркер может быть использован на основе разрешений, установленных его владельцем.

Теперь в проект вовлечены сторонние сайты и приложения, а именно:

  • Instagram;
  • Internet.org / Free Basics;
  • Oculus;
  • Onavo;
  • платформы Open Source (на базе Facebook);
  • WhatsApp.

Как сообщить об уязвимости?

Разработчики Facebook обновили условия предоставления услуг, в которых включили основные критерии для подачи жалобы на ошибку. Основное из них — в жалобе должно быть четкое подтверждение, демонстрирующее способ нечестного получения маркеров. Претензию можно составить, обратившись в службу безопасности Facebook.

Какие проблемы включены в программу?

Команда Facebook готова платить по 500 $ за найденную в приложении или на сайте уязвимость, если отчет по ней составлен грамотно. Жалобы будут приниматься только в том случае, если пользователь нашёл ошибку с помощью пассивного просмотра информации и никак её не использовал в своих целях.

Также компания установила перечень проблем, на которые данная программа не распространяется:

  • спам и техники социальной инженерии;
  • атаки типа «отказ в обслуживании»;
  • внедрение контента, если наличие риска не доказано;
  • уязвимости системы безопасности в сторонних приложениях и на сторонних сайтах, интегрированных с Facebook (включая большую часть страниц на сайте apps.facebook.com);
  • выполнение скриптов на доменах-«песочницах» (например, fbrell.com или fbsbx.com).

Поднимая вопрос безопасности и оперативности решения проблем, разработчики Facebook создали инструмент SapFix, автоматически генерирующий и внедряющий патчи. Разработка основана на искусственном интеллекте, который самостоятельно находит в проекте ошибки и предлагает варианты исправления.

Следите за новыми постами
Следите за новыми постами по любимым темам
603 открытий606 показов