Facebook mở rộng chương trình Bug Bounty – chấp nhận “bỏ tiền túi” thưởng cho các hacker báo cáo lỗ hổng trong ứng dụng thuộc bên thứ ba

Sau một loạt các rủi ro bảo mật và lạm dụng dữ liệu thông qua nền tảng truyền thông xã hội của mình, Facebook mới đây đã quyết định mở rộng chương trình Bug Bounty nhằm tăng cường bảo mật cho các ứng dụng và trang web của bên thứ ba tích hợp với nền tảng của công ty.

facebook bug bountyNăm ngoái, Facebook đã phát động chương trình “Data Abuse Bounty” để trao thưởng cho bất kỳ ai có báo cáo hợp lệ về tình trạng thu thập trái phép dữ liệu người dùng Facebook của các ứng dụng thuộc bên thứ 3 nhằm chuyển cho các bên độc hại – hành vi được xem là vi phạm chính sách dữ liệu mới của Facebook.

Có một điều rõ ràng là ngay từ ban đầu dữ liệu của người dùng Facebook đã bị sử dụng sai mục đích do các lỗ hổng hoặc sự yếu kém về bảo mật trong các ứng dụng hoặc dịch vụ của bên thứ ba.

Hàng triệu ứng dụng của các bên thứ ba

Hệ sinh thái Facebook chứa hàng triệu ứng dụng của các bên thứ ba và rất ít trong số này có chương trình tiết lộ lỗ hổng hoặc Bug Bounty cho các hacker mũ trắng để báo cáo lỗi một cách có trách nhiệm.

Chính do khoảng cách giao tiếp giữa các nhà nghiên cứu và các nhà phát triển ứng dụng nên các chương trình bảo mật của Facebook cho các ứng dụng và trang web của bên thứ 3 cho đến nay cũng vẫn chỉ giới hạn ở việc “quan sát thụ động các lỗ hổng”.

Mặc dù Facebook đã từng mở rộng chương trình Bug Bounty cho các ứng dụng của bên thứ 3 vào cuối năm ngoái, nhưng chương trình này chỉ giới hạn ở các lần gửi báo cáo hợp lệ cho việc hiển thị mã token truy cập của người dùng cho phép mọi người đăng nhập vào ứng dụng khác bằng Facebook.

Nỗ lực nhằm khuyến khích hợp tác giữa các hacker và nhà phát triển

Giờ đây, để khuyến khích các nhà phát triển ứng dụng bên thứ ba bảo mật ứng dụng của họ một cách nghiêm túc hơn và thiết lập các chương trình tiết lộ lỗ hổng, Facebook đã quyết định “bỏ tiền túi” để chi trả cho các hacker mũ trắng ngay cả khi các nhà phát triển ứng dụng không có chương trình tiền thưởng lỗi của riêng mình.

Facebook cho biết mặc dù các lỗi này không liên quan đến mã (code) của công ty nhưng Facebook muốn các nhà nghiên cứu có một kênh rõ ràng để báo cáo các vấn đề trong trường hợp các lỗ hổng có thể dẫn đến việc lạm dụng dữ liệu người dùng của mình.

“Chúng tôi cũng muốn khuyến khích các nhà nghiên cứu tập trung vào các ứng dụng, trang web và các chương trình tiền thưởng lỗi vốn không được chú ý nhiều hoặc không có đủ nguồn lực để thu hút.”

Thông qua việc cam kết trao thưởng cho các báo cáo hợp lệ về các lỗi trong ứng dụng và trang web của bên thứ ba ảnh hưởng đến dữ liệu Facebook, “ông trùm mạng xã hội” hy vọng sẽ khuyến khích cộng đồng bảo mật tham gia nhiều hơn với các nhà phát triển ứng dụng.

Nói cách khác, các nhà phát triển ứng dụng có thể tận dụng chương trình này bằng cách thiết lập chính sách tiết lộ lỗ hổng của riêng họ. Điều này sẽ giúp các nhà nghiên cứu đủ điều kiện tìm lỗi trong mã của ứng dụng và nhận phần thưởng từ Facebook.

Đó là bởi vì một báo cáo về lỗ hổng trong các ứng dụng của bên thứ ba gửi tới Facebook sẽ chỉ được coi là hợp lệ khi các nhà nghiên cứu có thể bao gồm bằng chứng ủy quyền được cấp bởi nhà phát triển thuộc bên thứ ba.

Nhận tiền thưởng từ cả Facebook và các nhà phát triển thuộc bên thứ ba

Tuy nhiên, nếu các nhà phát triển thuộc bên thứ ba đã có chương trình Bug Bounty riêng thì các nhà nghiên cứu hoàn toàn có thể yêu cầu phần thưởng từ cả hai bên.

Khoản tiền thưởng từ Facebook sẽ được chi trả tùy thuộc vào tác động tiềm năng và mức độ nghiêm trọng của lỗ hổng được báo cáo với khoản thanh toán tối thiểu là 500 đô la.

Các chương trình Bug Bounty nhằm ngăn chặn hành vi lạm dụng dữ liệu và phát hiện các lỗ hổng tồn tại trong ứng dụng web & mobile app là xu hướng ngày càng tăng trong an ninh mạng.