Почти год назад Facebook запустил программу выплаты вознаграждений за найденные уязвимости Bug Bounty, по примеру таких же программ, действующих в Google, Mozilla и некоторых других компаниях. С тех пор многие хакеры получили заслуженную премию от $500 до $10000 на чёрной карточке.
Общая сумма выплат хакерам за неполный год составила около $400 тыс. Для сравнения, компания Google за время действия аналогичной программы выплатила более $1 млн, Firefox — более $600 тыс. Пионер в этой области Zero Day Initiative выплатил боле $5,6 млн за эксплойты в продуктах разных разработчиков.
Facebook оплачивает информацию об уязвимости при условии, что хакер сообщит о ней в компанию, а не своим «коллегам по цеху». Раньше программа относилась только к уязвимостям на сайте, но всё изменилось недавно, когда отдел безопасности Facebook получил наводку от одно из хакеров о внедрении во внутреннюю корпоративную сеть с возможностью прослушивания внутренних коммуникаций между сотрудниками. После этого руководство Facebook решило расширить программу Bug Bounty в том числе на свою локальную сеть.
Другими словами, если вы сумеете проникнуть в сеть Facebook, то можете рассчитывать на беспрецедентную награду, которая может многократно превысить стандартное вознаграждение за баги на сайте. «Если там дыра на миллион долларов, то мы заплатим миллион долларов», — сказал менеджер по разбору инцидентов в области безопасности Facebook Райан Макгиен.
Судя по всему, Facebook будет первой компанией, которая готова платить хакерам огромные деньги за уязвимость в корпоративной сети. Например, представители Google сказали, что не намерены выплачивать вознаграждение за такие уязвимости. Может быть, их позиция изменится в будущем, потому что ущерб от взлома корпоративной сети может быть гораздо больше, чем миллион долларов, так что лучше сразу заплатить.
