Facebook заплатит за выявленные уязвимости
Социальная сеть Facebook выплатила более миллиона долларов пользователям, которые находили уязвимости и сбои в работе социальной сети. Руководители программы Bug Bounty, в рамках которой проводились выплаты, опубликовали статистику, собранную за время её работы:
выплаты получили 329 человек. Некоторые из них являются профессиональными специалистами по безопасности, другие — студентами и работниками с частичной занятостью. Самому младшему участнику программы исполнилось 13 лет.
участники программы, получившие премию, живут в 51 стране. Только 20% премий было получено жителями США.
самая большая сумма премии составила $20,000.
некоторые из участников программы заработали более $100,000, сообщив о нескольких найденных уязвимостях.
двое из участников программы получили приглашение и устроились на работу в команду безопасности Facebook.
Для того, чтобы получить премию за выявленную уязвимость, участники программы должны оценить её с точки зрения четырёх критериев: влияния на безопасность пользователей, качества коммуникации, точки применения и вторичного ущерба. Наиболее важными считаются возможность изменения, перехвата или удаления данных на Facebook и исполнение JavaScript на facebook.com, Нашедшие уязвимости должны доказать их существование скриншотами и пошагово объяснить, как воспроизвести неполадку. Наиболее важными целями являются Facebook.com, Instagram, HHVM и мобильные приложения. Сбои, которые сами могут генерировать дополнительные сбои, «вторичный ущерб», также оплачиваются выше остальных.