Tras una serie de percances de seguridad y abuso de datos a través de su plataforma de redes sociales, Facebook amplía hoy su programa de recompensas de errores de una manera muy única para reforzar la seguridad de las aplicaciones y sitios web de terceros que se integran con su plataforma.
El año pasado, Facebook lanzó el programa » Data Abuse Bounty » para recompensar a cualquiera que informe eventos válidos de aplicaciones de terceros que recopilan datos de usuarios de Facebook y los pasan a partes maliciosas, violando las políticas de datos renovadas de Facebook.
Aparentemente, resulta que la mayoría de las veces, los datos de los usuarios de Facebook que habían sido mal utilizados estaban expuestos en primer lugar como resultado de una vulnerabilidad o debilidad de seguridad. en aplicaciones o servicios de terceros.
El ecosistema de Facebook contiene millones de aplicaciones de terceros, y desafortunadamente, muy pocas de ellas tienen un programa de divulgación de vulnerabilidades u ofrecen recompensas de recompensas por errores a los piratas informáticos de sombrero blanco por informar de manera responsable los errores en su base de código.
Debido a esta brecha de comunicación entre los investigadores y los desarrolladores de aplicaciones afectados, los programas de seguridad de Facebook para aplicaciones y sitios web de terceros estaban, hasta ahora, limitados a «observar pasivamente las vulnerabilidades».
Aunque Facebook una vez expandió su programa de recompensas de errores para aplicaciones de terceros a fines del año pasado, el esquema solo se limitó a la presentación de informes válidos para la exposición de los tokens de acceso de los usuarios de Facebook que permiten a las personas iniciar sesión en otra aplicación usando Facebook.
Esfuerzos para fomentar la colaboración entre hackers y desarrolladores
Ahora, para alentar a los desarrolladores de aplicaciones de terceros a que tomen más en serio la seguridad de sus aplicaciones y establezcan un programa de divulgación de vulnerabilidades, Facebook ha decidido pagar a los investigadores de sombrero blanco de su propio bolsillo, incluso si los desarrolladores de aplicaciones no tienen su propia recompensa. programa.
«Aunque estos errores no están relacionados con nuestro propio código, queremos que los investigadores tengan un canal claro para informar estos problemas si pudieran hacer que los datos de nuestros usuarios pudieran ser mal utilizados», dice Facebook .
«También queremos incentivar a los investigadores para que se centren en aplicaciones, sitios web y programas de recompensas de errores que de otra manera no recibirían tanta atención o no tendrían recursos para incentivar a la comunidad de recompensas de errores».
«Al comprometernos a recompensar informes válidos sobre errores en aplicaciones y sitios web de terceros que afectan los datos de Facebook, esperamos alentar a la comunidad de seguridad a interactuar con más desarrolladores de aplicaciones».
En otras palabras, los desarrolladores de aplicaciones pueden aprovechar este programa simplemente configurando su propia política de divulgación de vulnerabilidad, que luego ayudaría a los investigadores a ser elegibles para encontrar errores en su código y reclamar recompensas de Facebook.
Esto se debe a que un informe de una vulnerabilidad en aplicaciones de terceros enviadas a Facebook solo se considerará válido cuando los investigadores incluyan una prueba de autorización otorgada por el desarrollador externo al enviar sus informes al programa de recompensas de errores de Facebook.
Sin embargo, si los desarrolladores de terceros ya tienen su propio programa de recompensas de errores, los investigadores pueden reclamar recompensas de ambas partes.
La recompensa de Facebook se emitirá dependiendo del impacto potencial y la gravedad de la vulnerabilidad informada responsablemente, con un pago mínimo de $ 500.
Los programas de recompensas de errores por abuso de datos y aplicaciones de terceros que afectan a todo el ecosistema son una tendencia creciente en seguridad cibernética. Más recientemente, Google también amplió su programa de recompensas Pay Store recompensar a los hackers por encontrar errores en cualquier aplicación de Android que tenga más de 100 millones de descargas.
Sin embargo, en ese caso, Google asume la responsabilidad de colaborar con los desarrolladores de aplicaciones, mientras que el último esquema de Facebook también es una excelente manera de permitir que los investigadores trabajen directamente con desarrolladores externos.
Fuente: thehackernews.com
