Facebook ahora paga a los piratas informáticos por informar errores de seguridad en aplicaciones de terceros

programa de recompensas por errores de facebook

Luego de una serie de percances de seguridad y abuso de datos a través de su plataforma de redes sociales, Facebook expandió hoy su programa de recompensas por errores de una manera muy singular para reforzar la seguridad de las aplicaciones y sitios web de terceros que se integran con su plataforma.

El año pasado, Facebook lanzó el programa «Recompensa por abuso de datos» para recompensar a cualquiera que informe eventos válidos de aplicaciones de terceros que recopilan datos de usuarios de Facebook y los pasan a terceros maliciosos, violando las políticas de datos renovadas de Facebook.

Aparentemente, resulta que la mayoría de las veces, los datos de los usuarios de Facebook que habían sido mal utilizados quedaron expuestos en primer lugar como resultado de una vulnerabilidad o debilidad de seguridad en aplicaciones o servicios de terceros.

El ecosistema de Facebook contiene millones de aplicaciones de terceros y, desafortunadamente, muy pocas de ellas tienen un programa de divulgación de vulnerabilidades u ofrecen recompensas de recompensas por errores a los piratas informáticos de sombrero blanco por informar errores en su base de código de manera responsable.

Debido a esta brecha de comunicación entre los investigadores y los desarrolladores de aplicaciones afectadas, los programas de seguridad de Facebook para aplicaciones y sitios web de terceros, hasta ahora, se limitaban a «observar pasivamente las vulnerabilidades».

Aunque Facebook ya amplió una vez su programa de recompensas por errores para aplicaciones de terceros a fines del año pasado, el esquema solo se limitó a envíos de informes válidos para la exposición de los tokens de acceso de los usuarios de Facebook que permiten a las personas iniciar sesión en otra aplicación usando Facebook.

Esfuerzos para fomentar la colaboración entre hackers y desarrolladores

Ahora, para alentar a los desarrolladores de aplicaciones de terceros a que se tomen más en serio la seguridad de sus aplicaciones y establezcan un programa de divulgación de vulnerabilidades, Facebook ha decidido pagar a los investigadores de sombrero blanco de su propio bolsillo, incluso si los desarrolladores de aplicaciones no tienen su propia recompensa. programa.

«Aunque estos errores no están relacionados con nuestro propio código, queremos que los investigadores tengan un canal claro para informar estos problemas si pudieran conducir a un uso indebido de los datos de nuestros usuarios», dice Facebook.

«También queremos incentivar a los investigadores para que se centren en las aplicaciones, los sitios web y los programas de recompensas por errores que, de otro modo, no recibirían tanta atención o no tendrían recursos para incentivar a la comunidad de recompensas por errores».

«Al comprometernos a recompensar los informes válidos sobre errores en aplicaciones y sitios web de terceros que afectan los datos de Facebook, esperamos alentar a la comunidad de seguridad a involucrarse con más desarrolladores de aplicaciones».

En otras palabras, los desarrolladores de aplicaciones pueden aprovechar este programa simplemente configurando su propia política de divulgación de vulnerabilidades, lo que luego ayudaría a los investigadores a ser elegibles para encontrar errores en su código y reclamar recompensas de Facebook.

Esto se debe a que un informe de una vulnerabilidad en aplicaciones de terceros enviado a Facebook solo se considerará válido cuando los investigadores incluyan una prueba de autorización otorgada por el desarrollador externo al enviar sus informes al programa de recompensas por errores de Facebook.

Sin embargo, si los desarrolladores externos ya tienen su propio programa de recompensas por errores, los investigadores pueden reclamar recompensas de ambas partes.

La recompensa de Facebook se emitirá según el impacto potencial y la gravedad de la vulnerabilidad informada de manera responsable, con un pago mínimo de $ 500.

Los programas de recompensas por errores por abuso de datos y aplicaciones de terceros que afectan a todo el ecosistema son una tendencia creciente en ciberseguridad. Más recientemente, Google también amplió su programa de recompensas Pay Store para recompensar a los piratas informáticos por encontrar errores en cualquier aplicación de Android que tenga más de 100 millones de descargas.

Sin embargo, en ese caso, Google asume la responsabilidad de colaborar con los desarrolladores de aplicaciones, mientras que el esquema más reciente de Facebook también es una excelente manera de permitir que los investigadores trabajen directamente con desarrolladores externos.

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática