$4.3 Millones pagados por el Programa Bounty Bug de Facebook - Cómo, Foro de Tecnología y Seguridad PC | SensorsTechForum.com
CYBER NOTICIAS

$4.3 Millones pagados por el Programa de Recompensa Bug de Facebook

1 Star2 Stars3 Stars4 Stars5 Stars (Sin clasificación todavía)
Cargando ...

facebook-estafaLa mayoría de las compañías multinacionales tienen programas de recompensas de errores que fomentan investigadores independientes para localizar e informar de las vulnerabilidades. Facebook no hace una excepción. Como una cuestión de hecho, la popular red social ha gastado mucho dinero en informes de fallas desde su programa de recompensas se inició en 2011.

Facebook gasta millones de dólares en informes de fallos

Según lo revelado por el investigador de seguridad Reginaldo Silva, Facebook ha despilfarrado aproximadamente $4.3 millones de dólares en más de 2,400 informes de errores, enviado por 800 investigadores ya 2011.

La mayoría de las vulnerabilidades reportadas incluyen

  • XSS (cross-site scripting) loco
  • CSRF (cross-site solicitud falsificación) loco
  • fallas de lógica de negocios (vulnerabilidades)

Leer más sobre Errores Facebook XSS

¿Qué es una vulnerabilidad de lógica de negocios?

problemas relacionados con la seguridad pueden ser descritos como puntos débiles en una aplicación que aparecen a partir de un control de seguridad roto o falta como la autenticación, control de acceso, validación de entradas. En breve, vulnerabilidades de lógica de negocio son simplemente formas de utilizar el flujo de procesamiento de una aplicación legítima de una manera que conduce a una consecuencia negativa a la organización particular.

Reginaldo Silva ha sido galardonado con el pago de recompensas más grande - en 2014. Esto es lo que Facebook se ha dicho acerca de sus descubrimientos de errores:

Hemos otorgado recientemente nuestra mayor pago de recompensas de errores cada vez, y ya que es una gran validación del programa que hemos estado construyendo y funcionando desde 2011, pensamos que sería mejor tomar unos minutos para describir el problema y nuestra respuesta. [...] Reginaldo Silva explica en el post vinculada a continuación que la cuestión era un XML entidades externas vulnerabilidad en https://www.facebook.com/openid/receiver.php que podría haber permitido a alguien para leer archivos arbitrarios en el servidor web. Inmediatamente, hemos implementado una solución al lanzar una bandera para hacer que nuestra biblioteca de análisis de XML para no permitir la resolución de entidades externas.

Echar un vistazo a la entera Mensaje por Facebook

¿Qué pasa con otras recompensas de errores? En 2015 pasado un poco menos de 2014 – $936,000. La suma se repartió a 210 investigadores a cambio de informes 526 loco. El tamaño promedio de una recompensa de error se debió $1,780. Investigadores de la India estaban en la parte superior de la "cadena de recompensas bug 'en 2014 y 2015. Adicionalmente, expertos de Egipto y Trinidad llevan los números en comparación con los investigadores estadounidenses y británicas.

De acuerdo con Reginaldo Silva (originalmente citado por TheRegister):

[…] la calidad de los informes que recibimos es cada vez mejor con el tiempo, tanto en términos de claras instrucciones paso a paso para reproducir el problema, así como una consideración cuidadosa del riesgo potencial para las personas que usan Facebook.

El investigador cree que los defectos de lógica de negocios ayudan a Facebook emplean reglas dentro de su base de código y por lo tanto eliminar clases enteras de defectos. En conclusión, centrándose en los informes de alta calidad y los defectos de lógica de negocios, es más fácil para los investigadores para clasificar las vulnerabilidades.

Milena Dimitrova

Un escritor inspirado y gestor de contenidos que ha estado con SensorsTechForum de 4 año. Disfruta ‘Sr.. Robot’y miedos‘1984’. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos!

Más Mensajes

Dejar un comentario

Su dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

Se agotó el tiempo límite. Vuelve a cargar de CAPTCHA.

Compartir en Facebook Compartir
Cargando ...
Compartir en Twitter Pío
Cargando ...
Compartir en Google Plus Compartir
Cargando ...
Compartir en Linkedin Compartir
Cargando ...
Compartir en Digg Compartir
Compartir en Reddit Compartir
Cargando ...
Compartir en Stumbleupon Compartir
Cargando ...