Facebook正在把钱放在安全性和隐私将扩展其多个漏洞赏金计划

Facebook正在把钱放在安全性和隐私上，周二宣布它将扩展其多个漏洞赏金计划，包括针对罕见漏洞的奖金支付。该社交网络在一系列博客文章中表示，它将为安全研究人员提供更多方法，以发现和披露与Facebook集成的第三方应用程序和网站中的缺陷。

Facebook的工程安全经理Dan Gurfinkel 在一份声明中说，研究人员将不再仅限于“被动观察该漏洞” 。

Facebook说，只要第三方授权研究人员，漏洞赏金猎人现在就可以主动测试这些第三方应用程序的安全性。可以将其视为通过观察来自第三方应用程序的流量来发现错误与寻找第三方应用程序可能滥用您的数据的安全研究人员之间的区别。

Gurfinkel表示：“这一变化大大扩大了我们的漏洞赏金社区可以与我们分享的安全研究范围，当他们在这些外部应用程序和网站中发现潜在的漏洞时，就会得到回报。”

奖励将根据漏洞的严重性而定，最低支出为$ 500。研究人员将必须提供证明，证明第三方应用程序已为漏洞赏金授权了这些渗透测试。

Facebook 于2018年9月首次宣布了其针对第三方应用程序的漏洞赏金计划，旨在通过社交网络无法控制的不负责任的开发人员泄露人们的个人数据的方式。

从2018年的Cambridge Analytica丑闻开始，第三方应用程序一直是Facebook隐私问题的主要原因。开发人员制作的Facebook应用程序实际上是在收集数据供Cambridge Analytica的研究人员使用，威胁用户的隐私并创造了潜在的威胁。政治干预。

4月，安全研究人员发现了一个Facebook信息的开放数据库，该数据库是由一家媒体公司通过社交网络上的一个应用程序收集的。

尽管Facebook拥有自己的安全团队来寻找数据窃取应用程序，但漏洞赏金也使该公司向大众开放了搜索。在2018年3月，Facebook首次扩展了其漏洞赏金计划，并开始将滥用数据的应用视为安全漏洞。

Bug赏金计划是网络安全的一种日益增长的趋势，苹果等公司为高级别的黑客活动提供了高达100万美元的资金。独立的安全研究人员搜索攻击者可以使用的错误和漏洞，并获得报酬以通知公司，而不是将这些漏洞用于恶意目的。

通常，错误越少，赏金越高。Facebook周二表示，它正在加大对本机代码错误的奖励 -这些缺陷很难找到，因为它们被隐藏在服务的深处。

如果发现并报告iOS上Facebook Messenger的零点击漏洞的研究人员将获得全部漏洞赏金，并且如果他们能够提供概念验证的话，现在将获得15,000美元的奖金。零点击漏洞很少见，因为它们不需要受害者互动就可以受到影响。

Facebook还表示，将把其硬件带到将于11月举行的黑客大会Pwn2Own Tokyo。公司经常将自己的产品带到会议上，以便黑客可以在其设备中发现漏洞。特斯拉在3月将一辆汽车带到了Pwn2Own Vancouver，成功的黑客赢得了它，并获得了35,000加元的奖励。

Facebook为成功入侵其Portal 设备提供$ 60,000的奖励，并为Oculus Quest中的安全漏洞提供$ 40,000的奖励。