Facebookin vanhempi Meta maksaa jopa 300,000 XNUMX dollaria tietoturvatutkijoille, jotka raportoivat hyödynnettävän etäkoodin suorittamisen (RCE) haavoittuvuuksista Facebookin, Messengerin, Instagramin ja WhatsAppin Android- ja iOS-versioissa.
Todellinen määrä vaihtelee virheen laukaisevan käyttäjän vuorovaikutuksen määrän mukaan – mitattuna "napsautuksina". Saadakseen suurimman voiton, tietoturvatutkijan on sisällytettävä toimiva konseptikoodi, jolla hän voi hyödyntää virhettä missä tahansa Androidin nykyisessä tai kahdessa edellisessä versiossa tai tällä hetkellä tuetussa Applen iOS-versiossa.
Päivitetyt maksuohjeet
Mobiili-RCE:n päivitettyjen ohjeiden lisäksi Meta julkaisi tällä viikolla myös uudet maksuohjeet tilin haltuunoton (ATO) ja kaksivaiheisen autentikoinnin (2FA) ohitushaavoittuvuuksille.
Maksimimaksu 2FA-virheestä on 20,000 130,000 dollaria, kun taas ATO-haavoittuvuudesta on 130,000 50,000 dollaria. Tässäkin todellinen voitto riippuu siitä, kuinka helposti hyökkääjä voi hyödyntää haavoittuvuutta. Esimerkiksi tutkija, joka raportoi ja osoittaa hyödynnettävän nollaklikkauksen todennusvirheen, voi kerätä XNUMX XNUMX dollarin voiton, kun taas yhden napsautuksen ATO saa XNUMX XNUMX dollarin palkkion.
Yhtiö esitteli myös uudet maksuohjeet Meta Quest Prossa ja muissa virtuaalitodellisuus (VR) -teknologioissa raportoiduille virheille, mikä teki Metasta yhden ensimmäisistä yrityksistä, joka palkittiin VR:n ja sekatodellisuuden laitteiden haavoittuvuuksista.
Metan päivitetyt maksuohjeet mobiilien RCE-virheille ja sen uudet palkinnot ATO- ja todennuksen ohitusvirheistä ovat viimeisimmät parannukset yrityksen lähes 11-vuotiseen bug-bounty-ohjelmaan. Sen puitteissa Meta on tähän mennessä maksanut noin 16 miljoonaa dollaria freelance-tutkijoille ympäri maailmaa, jotka ovat ilmoittaneet virheistä sen verkkoalustoilla.
Viimeisimmät muutokset ovat osa yrityksen pyrkimystä varmistaa, että Metan tarjoamat bugipalkkiot ja ohjelman kattamat tuotteet pysyvät linjassa kehittyvien uhkien kanssa, sanoo Metan bug-bounty-aloitetta johtava turvallisuusinsinööri Neta Oren.
"Joka vuosi opimme jatkuvasti uusia asioita siitä, miten voimme parhaiten olla tekemisissä yhteisön kanssa ja mukauttaa ohjelmaamme vastaamaan joitain vaikuttavimmista alueista kehittyvissä tiloissa", Oren sanoo. "Ohjelmamme on kasvanut pelkästä Facebookin Web-sivun kattamisesta vuonna 2011 kattamaan nyt kaikki verkko- ja mobiiliasiakkaamme sovellusperheessämme, mukaan lukien Instagram, WhatsApp, Oculus, Workplace ja paljon muuta."
Crowdsourced kyberturvallisuus
Metan bug-bounty-ohjelma on samanlainen kuin sadoilla muilla yrityksillä, jotka ovat ottaneet käyttöön joukkolähdettyjä haavoittuvuuksien etsintäohjelmia viime vuosina. Monet tietoturva-asiantuntijat pitävät näitä ohjelmia suhteellisen kustannustehokkaana tapana löytää haavoittuvuuksia, jotka sisäiset turvallisuustiimit ovat saattaneet unohtaa. Ohjelmat antavat eettisille hakkereille jäsennellyn tavan löytää ja raportoida haavoittuvuuksista, joita he saattavat löytää verkkosivustolta tai verkkosovelluksesta – ja saada palkkion ponnisteluistaan.
Monet näistä ohjelmista sisältävät Safe Harbor -lausekkeita, jotka vapauttavat bug-bounty-ohjelman alaisuudessa työskentelevät tietoturvatutkijat tutkimuksensa oikeudellisesta vastuusta. Myyjille ohjelmat tarjoavat tavan saada huippuluokan turvallisuustutkijat pohjimmiltaan suorittaa penetraatiotestejä alustoillaan suhteellisen kustannustehokkaalla tavalla. Tärkeää on, että se antaa heille myös paremman mahdollisuuden varmistaa, että tutkijat ilmoittavat haavoittuvuudesta suoraan heille sen sijaan, että paljastaisivat sen julkisesti ennen kuin korjaus on saatavilla, tai mikä vielä pahempaa, myyvät sen harmaaseen markkinaan kuuluvalle ostajalle.
Joillakin on kuitenkin varoitti tällaisten ohjelmien romahtamisesta tutkijoiden toimittamien virheilmoitusten määrässä, varsinkin jos organisaation tietoturvatiimi ei ole tarpeeksi kypsä tai tarpeeksi valmis vastaamaan niihin.
Suuri määrä raportteja
Sen jälkeen kun Facebook käynnisti bug-bounty-ohjelmansa vuonna 2011, yritys on saanut yli 170,000 8,500 ilmoitusta vianmetsästäjiltä ympäri maailmaa. Yhtiö tunnisti yli 16 XNUMX näistä raporteista päteviksi haavoittuvuuksista, joista se on maksanut yhteensä XNUMX miljoonaa dollaria palkkioita.
Tänä vuonna Meta on saanut noin 10,000 45 raporttia tutkijoilta 2 maasta ja jakanut yhteensä yli 750 miljoonan dollarin palkkioita noin XNUMX tunnistetusta haavoittuvuudesta. Intia, Nepal ja Tunisia olivat ykkösmaita palkkioiden myöntämisessä tänä vuonna.
"Yksi yli 10 vuoden bug-bounty-ohjelman etu on se, että jotkut tutkijoistamme ovat omistaneet vuosia alustamme metsästämiseen ja ovat tulleet erittäin tutuiksi tuotteisiimme ja palveluihimme", Oren sanoo. "Nämä tutkijat pystyvät kaivamaan pintatason ongelmia pidemmälle ja auttavat meitä tunnistamaan vaikuttavia, mutta niche-virheitä, joita laajempi yhteisö ei välttämättä tiedä etsivän."
Yksi esimerkki vaikuttavista, mutta markkinaraoista oli tilin haltuunotto ja 2FA:n ohitusketjuongelma, jonka pitkäaikainen tietoturvatutkija raportoi tänä vuonna Facebookin puhelinnumeropohjaisessa tilin palautusprosessissa; haavoittuvuus olisi voinut antaa hyökkääjälle mahdollisuuden nollata salasanat ja ottaa haltuunsa 2FA:n suojaamattomia tilejä. Meta myönsi löydöstä 163,000 XNUMX dollaria.
- blockchain
- cryptocurrency-lompakot
- cryptoexchange
- tietoverkkoturvallisuus
- verkkorikollisille
- tietoverkkojen
- Pimeää luettavaa
- sisäisen turvallisuuden osasto
- digitaaliset lompakot
- palomuuri
- Kaspersky
- haittaohjelmat
- McAfee
- NexBLOC
- Platon
- plato ai
- Platonin tietotieto
- Platon peli
- PlatonData
- platopeliä
- VPN
- verkkosivuilla turvallisuus
