Méta, anciennement Facebook, ajoute des attaques de grattage à son programme de bug bounty, selon une déclaration faite par la société. Le grattage est un problème avec lequel Facebook a été aux prises dans le passé. Pour cette raison, deux domaines de recherche pour ses programmes Bug Bounty et Data Bounty sont désormais disponibles: grattage de bogues et de bases de données grattées.
Le programme Meta Bug Bouty ajoute des attaques de grattage
Jusqu'à présent, dans 2021, Facebook, ou le programme de bug bounty de Meta a attribué plus de $2.3 millions aux chercheurs pour 25,000 rapports au total. « Alors que le grattage continue d'être un défi à l'échelle d'Internet, nous sommes ravis d'ouvrir ces nouveaux domaines de recherche pour notre communauté de bug bounty," a indiqué la compagnie.
Aucun site Web ou service en ligne n'est à l'abri du grattage, et cette tactique est constamment améliorée pour échapper à la détection en réponse aux mécanismes de sécurité intégrés. « Dans le cadre de notre stratégie de sécurité plus large pour rendre le grattage plus difficile et plus coûteux pour les attaquants, aujourd'hui, nous commençons à récompenser les rapports valides de grattage de bugs sur notre plate-forme,” Méta ajoutée. Cela semble être la première initiative de grattage de bug bounty.
Le programme couvrira également les bases de données grattées que les chercheurs découvrent en ligne. Rapports pour la découverte de bases de données non protégées ou ouvertement publiques qui contiennent au moins 100,000 des enregistrements d'utilisateurs Facebook uniques avec des informations personnelles ou des données sensibles seront attribués. Il convient également de noter que les bases de données signalées doivent être uniques et ne pas être signalées auparavant à Meta.
« Si nous confirmons que les informations personnelles de l'utilisateur ont été supprimées et sont désormais disponibles en ligne sur un site non-Meta, nous travaillerons pour prendre les mesures appropriées, ce qui peut inclure le travail avec l'entité concernée pour supprimer l'ensemble de données ou la recherche de moyens juridiques pour aider à garantir que le problème est résolu,” Meta a expliqué.
Si l'ensemble de données résulte d'une application tierce mal configurée, l'entreprise travaillera avec le développeur pour résoudre le problème. sinon, si le jeu de données est exposé sur un service d'hébergement, l'entreprise travaillera avec le fournisseur pour mettre l'ensemble de données hors ligne.
Les récompenses seront des questions basées sur l'impact maximum, avec une récompense minimale de $500 pour chaque bogue de grattage ou base de données.
Violations de données Facebook
En Avril de cette année, les chercheurs en sécurité ont rapporté une violation massive des données exposer les numéros de téléphone et les données personnelles de millions d'utilisateurs de Facebook. Les données exposées consistaient en des données personnelles de plus de 533 millions d'utilisateurs Facebook de 106 pays, Y compris 32 millions d'enregistrements d'utilisateurs américains, 11 millions d'enregistrements d'utilisateurs britanniques, et 6 millions d'enregistrements d'utilisateurs indiens.
La violation de données était possible en raison d'une vulnérabilité corrigée par Facebook dans 2019. En dépit d'avoir deux ans, les détails Facebook divulgués pourraient être exploités par des pirates informatiques dans divers scénarios. Les utilisateurs concernés pourraient être usurpés et arnaqués.
Il est également à noter qu'en octobre 2020, Facebook a lancé un programme de fidélité unique appelé Hacker Plus pour sa plateforme de bug bounty. À l'époque de sa sortie, le programme de fidélité était le premier du genre pour un géant de la technologie. Des programmes de fidélité similaires ont été lancés par des compagnies aériennes et des hôtels. Le but de Hacker Plus est de fournir des bonus et des avantages supplémentaires aux chasseurs de primes et aux chercheurs en sécurité sur la base de leurs rapports.