Facebook offre premi in denaro come parte del programma Bounty Bug ampliato

Il recente scandalo di Cambridge Analytica ha scosso Facebook, spingendo l'azienda a esaminare più da vicino dove finisce la sua massa di dati degli utenti e come viene utilizzata.

Come parte di questi sforzi, il gigante dei social network questa settimana ha annunciato che sta espandendo il suo programma di bug bounty per includere app e siti Web di terze parti che consentono alle persone di utilizzare i propri account Facebook per accedere.

L'azienda afferma che si sta concentrando sui token di accesso generati in modo univoco per l'utente e l'app specifici durante l'accesso.

"L'utente decide a quali informazioni possono accedere il token e l'app, nonché le azioni che possono essere intraprese ... [ma] un token può essere potenzialmente utilizzato in modo improprio", ha spiegato Dan Gurfinkel, responsabile dell'ingegneria della sicurezza di Facebook, in un post che annuncia il programma ampliato.

Gurfinkel ha affermato che pagherà almeno $ 500 a chiunque rilevi vulnerabilità che comportano "l'esposizione impropria dei token di accesso degli utenti di Facebook". Più grave è il problema, maggiore sarà l'importo che Facebook pagherà, anche se non fa menzione di un limite.

Ha aggiunto che Facebook sta utilizzando il programma nel tentativo di creare un canale chiaro in cui le persone possano segnalare qualsiasi problema incontrano "e vogliamo fare la nostra parte per proteggere le informazioni delle persone, anche se la fonte di un bug non è nel nostro controllo diretto. "

Una volta che un problema è stato confermato dai ricercatori di Facebook, contatterà l'app o lo sviluppatore del sito Web per aiutarli a correggere il loro codice e saranno sospesi dalla piattaforma fino a quando il problema non sarà stato risolto.

"Inoltre revocheremo automaticamente i token di accesso che potrebbero essere stati compromessi per prevenire potenziali usi impropri e avviseremo coloro che riteniamo essere interessati", ha detto Gurfinkel.

Il responsabile dell'ingegneria della sicurezza ha sottolineato che Facebook accetterà solo segnalazioni "se il bug viene scoperto visualizzando passivamente i dati inviati ao dal tuo dispositivo durante l'utilizzo dell'app o del sito web vulnerabile". In altre parole, i ricercatori non sono autorizzati a "manipolare qualsiasi richiesta inviata all'app o al sito web dal tuo dispositivo, o altrimenti interferire con il normale funzionamento dell'app o del sito web in relazione all'invio della tua segnalazione".

Se un difetto viene segnalato da due persone che lavorano indipendentemente l'una dall'altra, il pagamento va alla persona che invia per prima la segnalazione. E se il ricercatore si sente generoso e vorrebbe donare la taglia in beneficenza, Facebook raddoppierà il valore della donazione.

L'espansione del suo programma di bug bounty arriva quattro mesi dopo che Facebook ha lanciato il Data Abuse Bounty Program, un'altra conseguenza del dannoso scandalo di Cambridge Analytica in cui un'app di terze parti ha aiutato a raccogliere i dati di un massimo di 87 milioni di utenti di Facebook per guadagni politici, il che ha portato a grandi domande sul modo in cui la società di social networking ha gestito i dati degli utenti.

Il programma Bounty per l'abuso dei dati premia gli utenti che scoprono e segnalano qualsiasi app o servizio collegato a Facebook che utilizza in modo improprio i dati, in particolare quando "un'app della piattaforma Facebook raccoglie e trasferisce i dati delle persone a un'altra parte per essere venduti, rubati o utilizzati per truffe o influenza ", ha detto la società.

Facebook ha descritto il suo programma Bounty per l'abuso di dati come una novità del settore.