L'anno scorso, Facebook ha lanciato il programma "Data Abuse Bounty" per premiare tutti coloro che segnalano eventi validi di app di terze parti che raccolgono i dati degli utenti di Facebook e li trasmettono a parti dannose, violando le rinnovate politiche sui dati.
Apparentemente, si scopre che la maggior parte delle volte, i dati degli utenti di Facebook che erano stati utilizzati in modo improprio sono stati esposti in primo luogo a causa di una vulnerabilità o debolezza della sicurezza in app o servizi di terze parti.
L'ecosistema di Facebook contiene milioni di app di terze parti e, sfortunatamente, pochissime di esse hanno un programma di divulgazione di vulnerabilità o offrono ricompense in termini di ricompensa di bug agli hacker con cappello bianco per aver segnalato bug in modo responsabile nella loro base di codice.
A causa di questo divario comunicativo tra i ricercatori e gli sviluppatori di app interessati, i programmi di sicurezza di Facebook per app e siti Web di terze parti erano finora limitati a "osservare passivamente le vulnerabilità".
Anche se Facebook già una volta ha ampliato il suo programma di bug bounty per app di terze parti alla fine dell'anno scorso, lo schema era limitato solo a invii di report validi per l'esposizione dei token di accesso degli utenti di Facebook che consentono alle persone di accedere a un'altra app utilizzando Facebook.
Ora, per incoraggiare gli sviluppatori di app di terze parti a prendere più seriamente la sicurezza delle loro app e impostare un programma di divulgazione delle vulnerabilità, Facebook ha deciso di pagare di tasca propria i ricercatori white hat anche se gli sviluppatori di app non hanno la loro generosità.
In altre parole, gli sviluppatori di app possono trarre vantaggio da questo programma semplicemente impostando la propria politica di divulgazione delle vulnerabilità, che aiuterebbe quindi i ricercatori a essere idonei a trovare bug nel loro codice e richiedere premi da Facebook.
Questo perché un rapporto di una vulnerabilità nelle app di terze parti inviate a Facebook sarà considerato valido solo quando i ricercatori includono la prova dell'autorizzazione concessa dallo sviluppatore di terze parti quando presentano i loro rapporti al programma di bug bounty di Facebook. Tuttavia, se gli sviluppatori di terze parti dispongono già del proprio programma di ricompensa dei bug, i ricercatori possono richiedere premi da entrambe le parti.
I premi di Facebook verranno emessi in base al potenziale impatto e alla gravità della vulnerabilità segnalata in modo responsabile, con un pagamento minimo di $ 500. I programmi di bug bounty per l'abuso di dati e le app di terze parti che interessano l'intero ecosistema sono una tendenza crescente nella sicurezza informatica. Più di recente, Google ha anche ampliato il suo programma di ricompensa di Pay Store per premiare gli hacker per la ricerca di bug in qualsiasi app Android che ha oltre 100 milioni di download.
Tuttavia, in tal caso, Google si assume la responsabilità di collaborare con gli sviluppatori di app, mentre l'ultimo schema di Facebook è anche un ottimo modo per consentire ai ricercatori di lavorare direttamente con sviluppatori di terze parti.
Programmatore informatico italiano, mi occupo di sviluppo sia Front-end che Back-end presso una grande azienda. La programmazione è stata la mia passione, insieme allo sport e al teatro che pratico tutt'ora. Ho deciso di aprire questo blog per dare consigli e condividerli con chi, come me, porta con sé questa passione. [..]
