Facebook mở rộng chương trình Bug Bounty – chấp nhận “bỏ tiền túi” thưởng cho các hacker báo cáo lỗ hổng trong ứng dụng thuộc bên thứ ba


Sau một loạt các rủi ro bảo mật và lạm dụng dữ liệu thông qua nền tảng truyền thông xã hội của mình, Facebook mới đây đã quyết định mở rộng chương trình Bug Bounty nhằm tăng cường bảo mật cho các ứng dụng và trang web của bên thứ ba tích hợp với nền tảng của công ty.



Năm ngoái, Facebook đã phát động chương trình “Data Abuse Bounty” để trao thưởng cho bất kỳ ai có báo cáo hợp lệ về tình trạng thu thập trái phép dữ liệu người dùng Facebook của các ứng dụng thuộc bên thứ 3 nhằm chuyển cho các bên độc hại – hành vi được xem là vi phạm chính sách dữ liệu mới của Facebook.



Có một điều rõ ràng là ngay từ ban đầu dữ liệu của người dùng Facebook đã bị sử dụng sai mục đích do các lỗ hổng hoặc sự yếu kém về bảo mật trong các ứng dụng hoặc dịch vụ của bên thứ ba.



Hàng triệu ứng dụng của các bên thứ ba



Hệ sinh thái Facebook chứa hàng triệu ứng dụng của các bên thứ ba và rất ít trong số này có chương trình tiết lộ lỗ hổng hoặc Bug Bounty cho các hacker mũ trắng để báo cáo lỗi một cách có trách nhiệm.



Chính do khoảng cách giao tiếp giữa các nhà nghiên cứu và các nhà phát triển ứng dụng nên các chương trình bảo mật của Facebook cho các ứng dụng và trang web của bên thứ 3 cho đến nay cũng vẫn chỉ giới hạn ở việc “quan sát thụ động các lỗ hổng”.



Mặc dù Facebook đã từng mở rộng chương trình Bug Bounty cho các ứng dụng của bên thứ 3 vào cuối năm ngoái, nhưng chương trình này chỉ giới hạn ở các lần gửi báo cáo hợp lệ cho việc hiển thị mã token truy cập của người dùng cho phép mọi người đăng nhập vào ứng dụng khác bằng Facebook.



>> Giaohangtietkiem.vn công bố chương trình Bug Bounty trên WhiteHub




Nỗ lực nhằm khuyến khích hợp tác giữa các hacker và nhà phát triển



Giờ đây, để khuyến khích các nhà phát triển ứng dụng bên thứ ba bảo mật
ứng dụng của họ một cách nghiêm túc hơn và thiết lập các chương trình tiết lộ lỗ
hổng, Facebook đã quyết định “bỏ tiền túi” để chi trả cho các hacker mũ trắng ngay
cả khi các nhà phát triển ứng dụng không có chương trình tiền thưởng lỗi của riêng
mình.



Facebook cho biết mặc dù các lỗi này không liên quan đến mã (code) của công ty nhưng Facebook muốn các nhà nghiên cứu có một kênh rõ ràng để báo cáo các vấn đề trong trường hợp các lỗ hổng có thể dẫn đến việc lạm dụng dữ liệu người dùng của mình.



“Chúng tôi cũng muốn khuyến khích các nhà nghiên cứu tập trung
vào các ứng dụng, trang web và các chương trình tiền thưởng lỗi vốn không được
chú ý nhiều hoặc không có đủ nguồn lực để thu hút.”



Thông qua việc cam kết trao thưởng cho các báo cáo hợp lệ về các lỗi
trong ứng dụng và trang web của bên thứ ba ảnh hưởng đến dữ liệu Facebook, “ông
trùm mạng xã hội” hy vọng sẽ khuyến khích cộng đồng bảo mật tham gia nhiều hơn
với các nhà phát triển ứng dụng.



Nói cách khác, các nhà phát triển ứng dụng có thể tận dụng chương trình
này bằng cách thiết lập chính sách tiết lộ lỗ hổng của riêng họ. Điều này sẽ
giúp các nhà nghiên cứu đủ điều kiện tìm lỗi trong mã của ứng dụng và nhận phần
thưởng từ Facebook.



Đó là bởi vì một báo cáo về lỗ hổng trong các ứng dụng của bên thứ ba gửi tới Facebook sẽ chỉ được coi là hợp lệ khi các nhà nghiên cứu có thể bao gồm bằng chứng ủy quyền được cấp bởi nhà phát triển thuộc bên thứ ba.



Nhận tiền thưởng từ cả Facebook và các nhà phát triển thuộc bên thứ ba



Tuy nhiên, nếu các nhà phát triển thuộc bên thứ ba đã có chương trình Bug Bounty riêng thì các nhà nghiên cứu hoàn toàn có thể yêu cầu phần thưởng từ cả hai bên .



Khoản tiền thưởng từ Facebook sẽ được chi trả tùy thuộc vào tác động tiềm
năng và mức độ nghiêm trọng của lỗ hổng được báo cáo với khoản thanh toán tối
thiểu là 500 đô la.



Các chương trình Bug Bounty nhằm ngăn chặn hành vi lạm dụng dữ liệu và phát hiện các lỗ hổng tồn tại trong ứng dụng web & mobile app là xu hướng ngày càng tăng trong an ninh mạng.



WhiteHub – Vietnam Bug Bounty Platform



WhiteHub Bug Bounty là nền tảng hàng đầu giúp các doanh nghiệp tổ chức – công bố chương trình trao thưởng săn lỗi của mình. Thông qua WhiteHub, doanh nghiệp có thể tiếp cận cộng đồng 500+ chuyên gia bảo mật để tìm lỗ hổng bảo mật trong sản phẩm công nghệ (web, mobile app, IoT, API, SaaS…).



Lợi ích của chương trình Bug Bounty trên WhiteHub:





Sức mạnh cộng đồng : bảo mật ứng dụng với cộng đồng 500+ chuyên gia an ninh mạng, pentester và hacker mũ trắng.

Tối ưu chi phí : chỉ trả tiền khi có lỗ hổng được tìm thấy (result-driven)

Bảo mật – an toàn : WhiteHub hỗ trợ doanh nghiệp tổ chức chương trình Bug Bounty bí mật, giúp bảo mật thông tin cho các sản phẩm & hệ thống mạng.

Khách hàng của WhiteHub Bug Bounty: VNtrip, Giaohangtietkiem, Finhay, Getfly, Sendo và nhiều doanh nghiệp khác.



Case study: VNtrip giải bài toán bảo mật dữ liệu của 500,000 khách hàng thông qua Bug Bounty như thế nào?



>> Đăng ký Tư vấn & DEMO miễn phí từ chuyên gia: whitehub.net/demo



THN
The post Facebook mở rộng chương trình Bug Bounty – chấp nhận “bỏ tiền túi” thưởng cho các hacker báo cáo lỗ hổng trong ứng dụng thuộc bên thứ ba appeared first on SecurityDaily .

Top News