Facebook现在向报告第三方应用程序安全漏洞的黑客支付费用

去年，Facebook推出了“数据滥用悬赏”计划，奖励任何报告第三方应用收集Facebook用户数据并将其传递给恶意方的有效事件的人，这违反了Facebook修改后的数据政策。

显然，事实证明，大多数情况下，Facebook用户被滥用的数据首先是由于第三方应用程序或服务中的漏洞或安全漏洞而暴露出来的。

Facebook生态系统包含数以百万计的第三方应用程序，不幸的是，很少有第三方应用程序有漏洞披露程序，或者向负责报告代码库中漏洞的白帽黑客提供漏洞奖励。

由于研究人员和受影响的应用程序开发人员之间存在这种沟通差距，Facebook针对第三方应用程序和网站的安全程序直到现在都仅限于“被动地观察漏洞”

尽管Facebook在去年年底已经扩大了针对第三方应用程序的漏洞奖励计划，但该计划仅限于针对Facebook用户访问令牌的曝光提交有效报告，允许用户使用Facebook登录另一个应用程序。

鼓励与黑客和开发者合作的努力

现在，为了鼓励第三方应用程序开发人员更认真地对待他们的应用程序的安全性，并建立一个漏洞披露计划，Facebook决定从自己的口袋里支付白帽研究人员的费用，即使应用程序开发人员没有自己的赏金计划。

Facebook表示：“虽然这些漏洞与我们自己的代码无关，但如果它们可能导致我们用户的数据被滥用，我们希望研究人员有一个明确的渠道来报告这些问题。”。

“我们还希望激励研究人员将注意力集中在应用程序、网站和漏洞奖励计划上，否则这些应用程序、网站和项目可能不会得到那么多关注，或者可能没有资源来激励漏洞奖励社区。”

“通过承诺奖励有关第三方应用程序和网站中影响Facebook数据的漏洞的有效报告，我们希望鼓励安全社区与更多应用程序开发者接触。”

换句话说，应用程序开发人员只需设置自己的漏洞披露政策，就可以利用这个程序，这将帮助研究人员有资格在代码中发现漏洞，并从Facebook获得奖励。

这是因为提交给Facebook的第三方应用程序中存在漏洞的报告只有在研究人员向Facebook的漏洞赏金计划提交报告时，包括第三方开发人员授权的证据，才会被视为有效。

然而，如果第三方开发人员已经有了自己的bug奖励计划，研究人员可以向双方索取奖励。

Reward from Facebook will be issued depending upon the potential impact and severity of the responsibly reported vulnerability, with a minimum payout of $500.

针对数据滥用和影响整个生态系统的第三方应用的漏洞奖励计划是网络安全领域的一个增长趋势。最近，谷歌还扩大了其支付商店奖励计划，以奖励在任何下载量超过1亿次的Android应用程序中发现漏洞的黑客。

然而，在这种情况下，谷歌负责与应用程序开发人员合作，而Facebook的最新方案也是让研究人员直接与第三方开发人员合作的一个好方法。