quarta-feira , agosto 23 2017
Últimas Notícias

Facebook pagou $ 4,3 milhões em recompensas desde 2011

Facebook já pagou um total de mais de US $ 4,3 milhões desde o lançamento do seu programa de recompensas por bugs em 2011, a gigante de mídia social, disse na terça-feira.

Segundo a empresa, 5.543 pesquisadores de 127 países enviaram mais de 13.000 relatórios de vulnerabilidade no ano passado. Do total, apenas 526 relatórios a partir de 210 pesquisadores foram válidados e resultaram em pagamentos de US $ 936.000, com uma média de US $ 1.780. O maior número de recompensas foi para a Índia, Egito e Trinidad e Tobago.

Os relatórios de vulnerabilidades mais notáveis ​​de 2015 envolveu a falta de proteção CSRF no “Facebook’s messenger.com”, abusando da pesquisa GraphQL para fazer inferências sobre os dados ocultos, e ignorando a proteção CSRF.

O montante total de recompensas diminuiu em 2015 em comparação com os US $ 1,3 milhões pagos no ano anterior, mas o número de relatórios classificados como “alto impacto” aumentou 38%.

Facebook atribuiu esse crescimento ao aumento da qualidade dos relatórios de vulnerabilidade – instruções claras para reproduzir o erro e descrições teóricas do cenário de ataque.

“Os melhores relatórios vêm de pesquisadores que priorizam algumas questões importantes, em vez de enviar um grande número de relatórios sobre vários erros de baixo impacto”, Reginaldo Silva, engenheiro de segurança do Facebook, explicou em um post de blog.

Como o Facebook tornou-se melhor a assegurar que as falhas tradicionais, como XSS e CSRF são eliminados durante o ciclo de desenvolvimento, muitos caçadores de recompensas têm voltado sua atenção para as incoerências de lógica de negócios. Relatórios de alta qualidade que descrevem essas questões permitirá à empresa atender as classes de vulnerabilidade inteiras de uma só vez, disse Silva.

“Outra parte importante do sucesso do programa decorre da confiança entre Facebook e da comunidade de investigadores, portanto, nós investimos muito nesses relacionamentos”, disse Silva. “Nós cuidadosamente investigamos e respondemos a cada relatório, e estamos empenhados em fazê-lo o mais rapidamente possível, normalmente dentro de alguns dias. Nós recompensamos questões de segurança válidas, com base em várias considerações e não é incomum para os investigadores nos dizer que a recompensa que eles receberam é maior do que o esperado”.

Fonte: Securityweek

Sobre Bruno_menor

Estuda Segurança da Informação desde quando tinha 12 anos, é mantenedor do maior fórum da América Latina de Segurança da Informação, o Guia do Hacker, atua como palestrante e professor na área de Segurança da Informação a mais de 3 anos. Graduado em Web Design e Programação, Pós-Graduando em Segurança da Informação, foi analista de Segurança Senior no Laboratório de Segurança e Sustentabilidade (LABSS).
Free WordPress Themes - Download High-quality Templates