Program nagród za wykrywanie luk nazwany Bug bounty działa ponad 7 lat, jednak widząc chociażby aferę Cambridge Analytica, możemy śmiało stwierdzić, że nie przynosił on cudownych efektów. Sposobem na poprawienie tego jest zwiększenie motywacji analityków bezpieczeństwa. W oficjalnym oświadczeniu firmy czytamy:
„Analitykom, którym uda się wykryć pozwalające przejąć sesję luki w zabezpieczeniach lub wykorzystywane przy autoryzacji użytkownika niejawne klucze dostępu (access tokens), przyznana zostanie nagroda w wysokości:
- 40 tys. USD w przypadku, gdy przejęcie konta nie wymaga podjęcia żadnej akcji ze strony użytkownika;
- 25 tys. USD w przypadku, gdy użytkownik musi wykonać akcję, która jednak zostanie uznana za mało podejrzaną”.
Dodatkowym ułatwieniem dla uczestników programu jest to, że nie muszą oni już przedstawiać pełnego exploita omijającego wszystkie zabezpieczenia. Wystarczy jedynie wskazać i udowodnić podatność na atak (proof-of-concept), a nie tak jak wcześniej, zaprezentować całą metodę przejęcia konta.
„Zwiększając nagrodę za odkrycie luk w zabezpieczeniach i łagodząc kryteria jej przyznania, chcemy zachęcić wysoko wykwalifikowanych specjalistów zajmujących się bezpieczeństwem sieciowym do udziału w programie i podnieść poziom bezpieczeństwa ponad 2 miliardów naszych użytkowników” – ogłosił Facebook.
„Bezpieczeństwo w mediach społecznościowych stanowi obecnie bardzo ważną kwestię. Przedsiębiorstwom grożą coraz większe kary za niedopatrzenie w kwestii bezpieczeństwa, stąd wzmożona ostrożność w tej kwestii i chęć poprawy systemu” – komentuje Dariusz Woźniak, inżynier techniczny Bitdefender z firmy Marken.
Zobacz również: Instagram: jak włączyć dwustopniowe uwierzytelnianie i zabezpieczyć konto
Źródło: Bitdefender