A maioria das empresas multinacionais tem programas de recompensa por bug que incentivam pesquisadores independentes a localizar e relatar vulnerabilidades. O Facebook não faz exceção. De fato, a popular rede social gastou muito dinheiro em relatórios de falhas desde que seu programa de recompensas foi iniciado em 2011.
Facebook gasta milhões de dólares em relatórios de bugs
Conforme revelado pelo pesquisador de segurança Reginaldo Silva, O Facebook desperdiçou aproximadamente $4.3 milhões em mais de 2,400 relatório de erros, enviado por 800 pesquisadores desde 2011.
A maioria das vulnerabilidades relatadas incluem
- XSS (cross-site scripting) insetos
- CSRF (falsificação de solicitação entre sites) insetos
- Falhas de lógica de negócios (vulnerabilidades)
Leia mais sobre Bugs XSS do Facebook
O que é uma vulnerabilidade de lógica de negócios?
Problemas relacionados à segurança podem ser descritos como pontos fracos em um aplicativo que surgem de um controle de segurança quebrado ou ausente, como autenticação, controle de acesso, validação de entrada. Em resumo, vulnerabilidades de lógica de negócios são simplesmente maneiras de usar o fluxo de processamento legítimo de um aplicativo de uma forma que leve a uma consequência negativa para a organização específica.
Reginaldo Silva recebeu a maior recompensa - no 2014. Isso é o que o Facebook disse sobre suas descobertas de bugs:
Recentemente, concedemos nosso maior pagamento de recompensa por bug de todos os tempos, e já que é uma grande validação do programa que temos construído e executado desde 2011, pensamos em levar alguns minutos para descrever o problema e nossa resposta. [...] Reginaldo Silva explica no post que o problema era uma vulnerabilidade de entidades externas XML que poderia permitir que alguém lesse arquivos arbitrários no servidor web. Imediatamente, implementamos uma correção invertendo uma sinalização para fazer com que nossa biblioteca de análise XML não permitisse a resolução de entidades externas.
E quanto a outras recompensas por insetos? No 2015 gastou um pouco menos que 2014 – $936,000. A soma foi dividida para 210 pesquisadores em troca de relatórios 526 insetos. O tamanho médio de uma recompensa por insetos era $1,780. Pesquisadores indianos estavam no topo da "cadeia de recompensas de insetos" em 2014 e 2015. além do que, além do mais, especialistas do Egito e de Trinidad lideram os números em comparação com pesquisadores dos EUA e do Reino Unido.
[…] a qualidade dos relatórios que recebemos está melhorando com o tempo, tanto em termos de instruções claras, passo a passo para reproduzir o problema, quanto em consideração cuidadosa do risco potencial para pessoas que usam o Facebook.
O pesquisador acredita que as falhas de lógica de negócios ajudam o Facebook a empregar regras em sua base de código e, assim, eliminar classes inteiras de falhas. Em conclusão, focando em relatórios de alta qualidade e falhas de lógica de negócios, é mais fácil para os pesquisadores classificarem as vulnerabilidades.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: