Facebook ha lanciato il Security Bug Bounty Program, attraverso il quale pagherà i ricercatori di sicurezza per la scoperta e la segnalazione privata di vulnerabilità nella sua piattaforma. Il piano che riguarda il programma di ricompensa per la sicurezza agli hacker whiteat era stato rivelato dal Chief Security Officer della società Joe Sullivan, alla conferenza dedicata alla sicurezza Hack in the Box ad Amsterdam.
Sembra che Facebook sia riuscito finalmente a risolvere i problemi legali che tale sforzo comporta e ha annunciato pubblicamente la disponibilità del programma. L'azienda offre 500 dollari in premi per i rapporti che vengono qualificati. Aderendo al programma è obbligatorio leggere un paragrafo delle policy di divulgazione responsabile:
"Se ci date un tempo ragionevole per rispondere alla vostra segnalazione prima di effettuare qualsiasi informazione pubblica e fate uno sforzo in buona fede al fine di evitare violazioni della privacy, la distruzione di dati e di interruzione o degrado del nostro servizio durante la ricerca, non porterà alcuna querela contro di voi o chiedere l'applicazione della legge per indagare voi".
I tipi di vulnerabilità che si qualificano per i premi sono: cross-site scripting (XSS), cross-site request forgery (CSRF/XSRF) e iniezione di codice remoto. Inoltre, l'exploit deve compromettere l'integrità e la riservatezza dei dati degli utenti di Facebook. Mentre una vincita tipica è di 500 dollari, la ricompensa può essere aumentata in casi particolari, anche se la società non specifica per questo alcun criterio.
E' anche interessante notare che solo i residenti dei paesi che non sono sotto le sanzioni degli Stati Uniti possono qualificarsi. La decisione di Facebook di lanciare il bug bounty program security per la sua piattaforma web segue decisioni analoghe da parte di Google e Mozilla per estendere il programma di sicurezza dei loro browser ad hacker whiteat che ricevono ricompense per le loro segnalazioni.
Via: Facebook Bug Bounty
Nessun commento:
Posta un commento