La mayoría de las compañías multinacionales tienen programas de recompensas de errores que fomentan investigadores independientes para localizar e informar de las vulnerabilidades. Facebook no hace una excepción. Como una cuestión de hecho, la popular red social ha gastado mucho dinero en informes de fallas desde su programa de recompensas se inició en 2011.
Facebook gasta millones de dólares en informes de fallos
Según lo revelado por el investigador de seguridad Reginaldo Silva, Facebook ha despilfarrado aproximadamente $4.3 millones de dólares en más de 2,400 informes de errores, enviado por 800 investigadores ya 2011.
La mayoría de las vulnerabilidades reportadas incluyen
- XSS (cross-site scripting) loco
- CSRF (cross-site solicitud falsificación) loco
- fallas de lógica de negocios (vulnerabilidades)
Leer más sobre Errores Facebook XSS
¿Qué es una vulnerabilidad de lógica de negocios?
problemas relacionados con la seguridad pueden ser descritos como puntos débiles en una aplicación que aparecen a partir de un control de seguridad roto o falta como la autenticación, control de acceso, validación de entradas. En breve, vulnerabilidades de lógica de negocio son simplemente formas de utilizar el flujo de procesamiento de una aplicación legítima de una manera que conduce a una consecuencia negativa a la organización particular.
Reginaldo Silva ha sido galardonado con el pago de recompensas más grande - en 2014. Esto es lo que Facebook se ha dicho acerca de sus descubrimientos de errores:
Hemos otorgado recientemente nuestra mayor pago de recompensas de errores cada vez, y ya que es una gran validación del programa que hemos estado construyendo y funcionando desde 2011, pensamos que sería mejor tomar unos minutos para describir el problema y nuestra respuesta. [...] Reginaldo Silva explica en la publicación que el problema era una vulnerabilidad de entidades externas XML que podría haber permitido que alguien leyera archivos arbitrarios en el servidor web.. Inmediatamente, hemos implementado una solución al lanzar una bandera para hacer que nuestra biblioteca de análisis de XML para no permitir la resolución de entidades externas.
¿Qué pasa con otras recompensas de errores? En 2015 pasado un poco menos de 2014 – $936,000. La suma se repartió a 210 investigadores a cambio de informes 526 loco. El tamaño promedio de una recompensa de error se debió $1,780. Investigadores de la India estaban en la parte superior de la "cadena de recompensas bug 'en 2014 y 2015. Adicionalmente, expertos de Egipto y Trinidad llevan los números en comparación con los investigadores estadounidenses y británicas.
[…] la calidad de los informes que recibimos es cada vez mejor con el tiempo, tanto en términos de claras instrucciones paso a paso para reproducir el problema, así como una consideración cuidadosa del riesgo potencial para las personas que usan Facebook.
El investigador cree que los defectos de lógica de negocios ayudan a Facebook emplean reglas dentro de su base de código y por lo tanto eliminar clases enteras de defectos. En conclusión, centrándose en los informes de alta calidad y los defectos de lógica de negocios, es más fácil para los investigadores para clasificar las vulnerabilidades.