Facebook ha lanciato il Security Bug Bounty Program, attraverso il quale pagherà i ricercatori di sicurezza per la scoperta e la segnalazione privata di vulnerabilità nella sua piattaforma. Il piano che riguarda il programma di ricompensa per la sicurezza agli hacker whiteat era stato rivelato dal Chief Security Officer della società Joe Sullivan, alla conferenza dedicata alla sicurezza Hack in the Box ad Amsterdam. Sembra che Facebook sia riuscito finalmente a risolvere i problemi legali che tale sforzo comporta e ha annunciato pubblicamente la disponibilità del programma.
L'azienda offre 500 dollari in premi per i rapporti che vengono qualificati. Aderendo al programma è obbligatorio leggere un paragrafo delle policy di divulgazione responsabile: "If you give us a reasonable time to respond to your report before making any information public and make a good faith effort to avoid privacy violations, destruction of data and interruption or degradation of our service during your research, we will not bring any lawsuit against you or ask law enforcement to investigate you" (se ci date un tempo ragionevole per rispondere alla vostra segnalazione prima di effettuare qualsiasi informazione pubblica e fate uno sforzo in buona fede al fine di evitare violazioni della privacy, la distruzione di dati e di interruzione o degrado del nostro servizio durante la ricerca, non porterà alcuna querela contro di voi o chiedere l'applicazione della legge per indagare voi).
Inoltre, sulla pagina dedicata al programma leggiamo: "If you're a security researcher, please review our responsible disclosure policy before reporting any vulnerabilities. If you're not a security researcher, visit the Facebook Security Page for assistance. If you believe you've found a security vulnerability on Facebook, we encourage you to let us know right away. We will investigate all legitimate reports and do our best to quickly fix the problem"
(Se siete un ricercatore di sicurezza, si prega di consultare la nostra politica di divulgazione responsabile prima di segnalare eventuali vulnerabilità. Se non siete un ricercatore di sicurezza, visitare la pagina Facebook di sicurezza per l'assistenza. Se credete di aver trovato una vulnerabilità di sicurezza su Facebook, vi invitiamo a farcelo sapere subito. Indagheremo tutti i rapporti legittimi e faremo del nostro meglio per risolvere rapidamente il problema). I ricercatori riferiscono che la ricompensa andrà a chi per primo qualificherà la vulnerabilità per la prima volta.
Se a due ricercatori capita di trovare lo stesso errore in modo indipendente, il primo che lo riporta otterrà il denaro. I tipi di vulnerabilità che si qualificano per i premi sono: cross-site scripting (XSS), cross-site request forgery (CSRF/XSRF) e iniezione di codice remoto. Inoltre, l'exploit deve compromettere l'integrità e la riservatezza dei dati degli utenti di Facebook. Mentre una vincita tipica è di 500 dollari, la ricompensa può essere aumentata in casi particolari, anche se la società non specifica per questo alcun criterio. E 'anche interessante notare che solo i residenti dei paesi che non sono sotto le sanzioni degli Stati Uniti possono qualificarsi.
I ricercatori della Corea del Nord, Libia, Cuba e altri paesi simili non avranno diritto a ricevere ricompense. Le vulnerabilità in applicazioni di terze parti di Facebook e siti web che si integrano con la piattaforma non saranno premiate, e neppure quelli dell'infrastruttura aziendale di Facebook, quelli che conducono alla negazione di condizioni di servizio (Denial of Service) o tecniche di ingegneria sociale e spam. La decisione di Facebook di lanciare il bug bounty program security per la sua piattaforma web segue decisioni analoghe da parte di Google e Mozilla per estendere il programma di sicurezza dei loro browser ad hacker whiteat che ricevono ricompense per le loro segnalazioni.
Nessun commento:
Posta un commento