Facebook присоеденился к Google и Mozilla в выплате денежных вознаграждений
исследователям, сообщившим об уязвимостях, которые могут поставить под угрозу
персональные данные или безопасность его пользователей.
Социальная сеть
заявила
в пятницу, что она будет выплачивать до $500 за обнаружение большинства видов
ошибок, таких, например, как межсайтовый скриптинг. Компания может заплатить
больше за более специфические ошибки, которые не были указаны в анонсе. Чтобы
претендовать на денежный приз, нужно быть первым, кто сообщит о том или ином
изъяне через специальную форму, и не являться при этом резидентом государства,
против которого правительством США установлены какие-либо санкции.
Этот шаг стал хорошей новостью для целого легиона исследователей, тратящих
значительное время и силы на обнаружение серьезных уязвимостей на сайтах и
в программах, которыми они пользуются. Чаще всего они получают не больше, чем
публичное признание. Microsoft, Oracle и практически любые другие производители
программного обеспечения упорно отказываются платить за отчеты об ошибках, даже
если они значительно улучшают их продукты.
Однако при этом
Microsoft недавно предложила $250 000 в награду за информацию, которая могла
бы доказать причастность тех или иных людей к организации и управлению недавно
обезвреженным ботнетом Rustock, который в свои лучшие времена был одним из
крупнейших источников спама. Хотя производитель программного обеспечения и
отказывается выплачивать денежные вознаграждения за сообщения об ошибках, он
публично обязался не подавать в суд или выдвигать обвинения против хакеров,
которые ищут изъяны в безопасности онлайновых услуг компании.
Mozilla стала одним из первых производителей программного обеспечения,
предложившим программу поощрения за обнаруженные ошибки, когда много лет назад
компания начала предлагать до $500 в качестве вознаграждения. Google в конце
концов последовал примеру. Обе компании постепенно увеличивали размер
вознаграждения, которое за самые серьезные ошибки составило $3 000 у Mozilla и
$3133.70 у Google.
На сегодняшний день компания Google выплатила около $300 000 по программе
поощрения за найденные в ее сервисах ошибки. Эта сумма не включает в себя те
вознаграждения, которые были выплачены за уязвимости, обнаруженные в браузере
Chromium.
"Мы до сих пор очень довольны успехом нашей программы по выплате
вознаграждений за обнаруженные уязвимости", - заявил представитель Google по
электронной почте.
Чтобы претендовать на щедроты Facebook, исследователи должны
сообщить об
ошибке и дать службе безопасности компании время на ответ, прежде чем делать
информацию об уязвимости достоянием общественности. В свою очередь отказ в
обслуживании (DOS), спам, приемы психологического манипулирования (социальная
инженерия), а также изъяны в сторонних приложениях и веб-сайтах, равно как и в
корпоративной инфраструктуре Facebook, в список вознаграждаемых уязвимостей и
проблем не входят.
