De fleste multinationale selskaber har bug bounty-programmer, der tilskynder uafhængige forskere at lokalisere og rapportere sårbarheder. Facebook gør ikke en undtagelse. Som en kendsgerning, det populære sociale netværk har brugt masser af penge på defekttyper rapporter siden sin gavmildhed programmet blev indledt i 2011.
Facebook bruger millioner af dollars på fejlrapporter
Som det fremgik af sikkerhed forsker Reginaldo Silva, Facebook har spildt ca. $4.3 millioner på mere end 2,400 fejlrapporter, sendt af 800 forskere siden 2011.
De fleste af de rapporterede sårbarheder omfatter
- XSS (cross-site scripting) bugs
- CSRF (cross-site anmodning forfalskning) bugs
- Forretningslogik fejl (sårbarheder)
Læs mere om Facebook XSS Bugs
Hvad er en Business Logic Sårbarhed?
Sikkerhedsrelaterede problemer kan beskrives som svagheder i et program, der vises fra en knækket eller manglende sikkerhed kontrol såsom autentificering, adgangskontrol, inputvalidering. Kort, forretningslogik sårbarheder er simpelthen måder at bruge en app legitim behandling flow på en måde, der fører til en negativ konsekvens for den pågældende organisation.
Reginaldo Silva er blevet tildelt den største dusør betaling - i 2014. Dette er, hvad Facebook har sagt om hans bug opdagelser:
Vi har for nylig tildelt vores største bug bounty udbetaling nogensinde, og da det er en stor validering af det program, vi har været at opbygge og drive siden 2011, vi troede, vi ville tage et par minutter til at beskrive problemet og vores svar. [...] Reginaldo Silva forklarer i indlægget, at problemet var en sårbarhed over eksterne XML-enheder, som kunne have tilladt nogen at læse vilkårlige filer på webserveren. Straks, vi implementeret en rettelse ved at vippe et flag for at forårsage vores XML parsing bibliotek at forbyde løsningen af eksterne enheder.
Hvad med andre bug dusører? I 2015 brugt lidt mindre end 2014 – $936,000. Summen blev delt ud til 210 forskere i bytte for rapportering 526 bugs. Den gennemsnitlige størrelse af en bug bounty var $1,780. Indiske forskere var på toppen af 'bug bounty kæde' i 2014 og 2015. Desuden, eksperter fra Egypten og Trinidad føre tallene i sammenligning med USA og Storbritannien forskere.
[…] kvaliteten af rapporter, vi modtager bliver bedre med tiden, både i form af klare trin-for-trin instruktioner til at genskabe problemet samt tankevækkende overvejelse af potentielle risiko for mennesker, der bruger Facebook.
Forskeren mener, at forretningslogik fejl hjælpe Facebook ansætte regler inden for sit kodebase og dermed eliminere hele klasser af fejl. Afslutningsvis, ved at fokusere på høj kvalitet rapporter og forretningslogik fejl, det er lettere for forskere at klassificere sårbarheder.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: