De meeste multinationale bedrijven hebben bug bounty programma's die onafhankelijke onderzoekers aan te moedigen om te lokaliseren en te rapporteren kwetsbaarheden. Facebook is niet een uitzondering maken. In feite, het populaire sociale netwerk is veel geld op fout rapporten doorgebracht sinds haar bounty programma werd gestart 2011.
Facebook Besteedt miljoenen dollars op Bug Reports
Zoals onthuld door security-onderzoeker Reginaldo Silva, Facebook heeft ongeveer verspild $4.3 miljoen op meer dan 2,400 bug reports, verstuurd door 800 onderzoekers sinds 2011.
Het merendeel van de gemelde beveiligingslekken bevatten
- XSS (cross-site scripting) bugs
- CSRF (cross-site request vervalsing) bugs
- Bedrijfslogica gebreken (kwetsbaarheden)
Lees meer over Facebook XSS Bugs
Wat is een Business Logic Vulnerability?
Security-gerelateerde problemen kunnen worden omschreven als de zwakke punten in een toepassing die uit een gebroken of ontbrekende veiligheidscontrole verschijnen zoals authenticatie, toegangscontrole, invoervalidatie. Kortom, business logica kwetsbaarheden zijn gewoon manieren van het gebruik van een app toelaatbare verwerking stroom op een manier die leidt tot een negatief gevolg op de specifieke organisatie.
Reginaldo Silva is bekroond met de grootste bounty betaling - in 2014. Dit is wat Facebook heeft gezegd over zijn bug ontdekkingen:
We hebben onlangs bekroond met onze grootste bug bounty uitbetaling ooit, en omdat het een grote validatie van het programma dat wij hebben het bouwen en loopt sinds 2011, we dachten dat we een paar minuten zou duren om het probleem en onze reactie te beschrijven. [...] Reginaldo Silva legt in de post uit dat het probleem een XML-kwetsbaarheid van externe entiteiten was waardoor iemand willekeurige bestanden op de webserver had kunnen lezen. Onmiddellijk, implementeerden we een oplossing door het opgooien van een vlag om onze XML parsing bibliotheek veroorzaken aan de resolutie van externe entiteiten verbieden.
Hoe zit het met andere bug bounties? In 2015 bracht een beetje minder dan 2014 – $936,000. Het bedrag werd gedeeld uit te 210 onderzoekers in ruil voor het melden 526 bugs. De gemiddelde grootte van een bug bounty was $1,780. Indian onderzoekers waren op de top van de "bug bounty keten in 2014 en 2015. Bovendien, experts uit Egypte en Trinidad leiden de cijfers in vergelijking met de Amerikaanse en Britse onderzoekers.
[…] de kwaliteit van de rapporten die we ontvangen wordt steeds beter na verloop van tijd, zowel in termen van duidelijke stap-voor-stap instructies om het probleem te reproduceren evenals doordachte afweging van de mogelijke risico's voor mensen die gebruik maken van Facebook.
De onderzoeker meent dat de business logica gebreken helpen Facebook gebruiken regels in de code base en dus elimineren hele klassen van gebreken. Tenslotte, door zich te richten op hoogwaardige rapporten en business logica gebreken, is het makkelijker voor onderzoekers om kwetsbaarheden te classificeren.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: