Новая программа Facebook
по выплате денежных вознаграждений людям, которые сообщают о багах на сайте
социальной сети, стоила более $40 000 в первые три недели своего существования.
Согласно сообщению, опубликованному в понедельник руководителем службы
безопасности Facebook Джо Салливаном, исследователи в 16 различных странах
получили вознаграждения, которое в отдельных случаях достигало $5 000. Один
человек уже получил в общей сложности $7 000 за выявление шести различных
уязвимостей.
"Мы очень рады осознавать, что запустили еще один мощный проект, чтобы помочь
обеспечить безопасное использование Facebook", - написал Салливан. "Программа
вознаграждения за поиск багов является замечательным способом взаимодействия с
сообществом по исследованиям в области безопасности и даже лучшим способом
улучшения безопасности в сложном технологическом окружении".
Когда компания Facebook объявила о программе в прошлом месяце, она
присоединилась к Mozilla и Google в вознаграждении исследователей, лично
сообщающих об уязвимостях, которые могут поставить под угрозу неприкосновенность
частной жизни или безопасность пользователей. На сегодняшний день компания
Google выплатила более $300 000 за баги, обнаруженные в ее различных
веб-проектах – и это не включая вознаграждений, выплаченных за уязвимости,
найденные в браузере Chromium.
На другом конце спектра находятся такие компании, как Microsoft и Adobe,
которые упорно отказываются платить вознаграждения за доклады об уязвимостях,
даже несмотря на то, что их продукты получают от этого большую выгоду. В прошлом
месяце Microsoft предложила вознаграждение в размере $250 000 за поимку
операторов недавно уничтоженного ботнета Rustock, а так же она обещала более
$250 000 исследователям, которые
предложат новые средства
защиты пользователей Windows.
В сегодняшнем сообщении Салливан пояснил несколько тонкостей в их программе
вознаграждений. Минимальное количество выплачиваемых денег составляет $500. В
ходе программы уже было выплачено вознаграждение в $5 000 "за один действительно
хороший отчет". Он не сказал, является ли это максимальной суммой, а также не
обозначил критерии, определяющие, что один доклад лучше другого.
