Sau một loạt các rủi ro bảo mật và lạm dụng dữ liệu thông qua nền tảng truyền thông xã hội của mình, Facebook hôm nay đã mở rộng chương trình bug bounty của mình theo cách rất độc đáo để tăng cường bảo mật cho các ứng dụng và trang web của bên thứ ba tích hợp với nền tảng của nó.
Năm ngoái, Facebook đã phát động chương trình “Data Abuse Bounty” để thưởng cho bất kỳ ai báo cáo các sự kiện hợp lệ của ứng dụng bên thứ 3 thu thập dữ liệu của người dùng Facebook và chuyển cho các bên khác với ý định không tốt, vi phạm chính sách dữ liệu của Facebook.
Ngay từ đầu, dữ liệu của người dùng Facebook bị lạm dụng đã bị lộ ngay từ đầu do lỗ hổng hoặc sự yếu kém về bảo mật trong các ứng dụng hoặc dịch vụ của bên thứ ba.
Hệ sinh thái Facebook chứa hàng triệu ứng dụng của bên thứ ba và thật không may, rất ít trong số chúng có chương trình tìm kiếm lỗ hổng hoặc cung cấp phần thưởng tiền thưởng cho các tin tặc mũ trắng vì đã báo cáo lỗi một cách có trách nhiệm trong codebase của họ.
Do việc thiếu giao tiếp giữa các nhà nghiên cứu và nhà phát triển ứng dụng bị ảnh hưởng, các chương trình bảo mật của Facebook cho các ứng dụng và trang web của bên thứ 3, cho đến nay, chỉ giới hạn ở việc “quan sát thụ động các lỗ hổng”(passively observing the vulnerabilities).
Mặc dù Facebook đã từng mở rộng chương trình bug bounty cho các ứng dụng của bên thứ 3 vào cuối năm ngoái, nhưng chương trình này chỉ giới hạn ở các lần gửi báo cáo hợp lệ cho việc hiển thị access token của người dùng Facebook cho phép người khác đăng nhập vào ứng dụng khác bằng Facebook.
Facebook nỗ lực khuyến khích hacker mũ trắng và các developer hợp tác.
Giờ đây, để khuyến khích các nhà phát triển ứng dụng bên thứ ba bảo mật ứng dụng của họ một cách nghiêm túc hơn và thiết lập chương trình tìm kiếm lỗ hổng, Facebook đã quyết định trả tiền cho các hacker mũ trắng từ túi của mình ngay cả khi các nhà phát triển ứng dụng không có tiền thưởng của riêng họ.
“Mặc dù các lỗi này không liên quan đến code của chúng tôi, chúng tôi muốn các nhà nghiên cứu có một channel rõ ràng để báo cáo các vấn đề này nếu chúng có thể làm dữ liệu của người dùng của chúng tôi có bị lạm dụng”, Facebook nói.
“Chúng tôi cũng muốn khuyến khích các nhà nghiên cứu tập trung vào các ứng dụng, trang web và các chương trình bug bounty cho dù không được chú ý nhiều hoặc có thể không có tài nguyên để khuyến khích cộng đồng tìm kiếm lỗi.”
“Bằng cách cam kết khen thưởng các báo cáo hợp lệ về các lỗi trong ứng dụng và trang web của bên thứ ba làm ảnh hưởng đến dữ liệu của Facebook, chúng tôi hy vọng cộng đồng bảo mật tham gia hoạt động cùng với nhiều nhà phát triển ứng dụng hơn.”
Nói cách khác, các nhà phát triển ứng dụng có thể tận dụng chương trình này bằng cách thiết lập chính sách tiết lộ lỗ hổng của riêng họ, điều này sẽ giúp các nhà nghiên cứu đủ điều kiện tìm lỗi trong mã của họ và nhận phần thưởng từ Facebook.
Đó là bởi vì một báo cáo về lỗ hổng trong các ứng dụng của bên thứ ba gửi tới Facebook sẽ chỉ được coi là hợp lệ khi các hacker mũ trắng có bao gồm bằng chứng ủy quyền được cấp bởi nhà phát triển bên thứ ba khi gửi báo cáo của họ cho chương trình tiền thưởng lỗi của Facebook.
Tuy nhiên, nếu các nhà phát triển bên thứ ba đã có chương trình tiền thưởng lỗi riêng, các hacker có thể yêu cầu phần thưởng từ cả hai bên.
Phần thưởng từ Facebook sẽ được phát tùy thuộc vào tiềm năng tác động và mức độ nghiêm trọng của lỗ hổng được báo cáo , với khoản tiền thưởng tối thiểu là 500 đô la.
Chương trình bug bounty cho việc lạm dụng dữ liệu và việc các ứng dụng của bên thứ 3 làm ảnh hưởng hệ sinh thái, đang là xu hướng ngày càng tăng trong an ninh mạng. Gần đây nhất, Google cũng đã mở rộng chương trình tiền thưởng Pay Store của mình để thưởng cho các hacker mũ trắng tìm thấy lỗi trong bất kỳ ứng dụng Android nào có hơn 100 triệu lượt tải xuống.
Tuy nhiên, trong trường hợp đó, Google có trách nhiệm cộng tác với các nhà phát triển ứng dụng, trong khi chương trình mới nhất của Facebook cũng là một cách tuyệt vời để cho phép các hacker mũ trắng trực tiếp làm việc với các nhà phát triển bên thứ ba.
