Facebookは拡張バグバウンティプログラムの一環として現金報酬を提供しています

最近のケンブリッジアナリチカのスキャンダルはFacebookを揺るがし、同社にユーザーデータの大部分がどこに行き着くのか、そしてそれがどのように利用されるのかをより綿密に調査するよう促しました。

これらの取り組みの一環として、ソーシャルネットワーキング大手は今週、Facebookのアカウントを使用してログインできるサードパーティのアプリやウェブサイトを含めるようにバグ報奨金プログラムを拡大すると発表しました。

同社は、ログイン時に特定のユーザーとアプリに対して一意に生成されるアクセストークンに焦点を当てていると述べています。

FacebookのセキュリティエンジニアリングマネージャーであるDan Gurfinkelは、拡張プログラムを発表した投稿で「ユーザーは、トークンとアプリがアクセスできる情報と実行できるアクションを決定します。

ガーフィンケル氏は、「Facebookユーザーアクセストークンの不適切な公開」に関連する脆弱性を発見した人には少なくとも500ドルを支払うと述べた。問題が深刻であればあるほど、Facebookが支払う金額は大きくなりますが、上限については言及されていません。

彼は、Facebookがこのプログラムを使用して、人々が遭遇する問題を報告するための明確なチャネルを作成するために努力していると語った。直接制御。」

Facebookの研究者によって問題が確認されると、アプリまたはWebサイトの開発者に連絡してコードの修正を支援し、問題が解決されるまでプラットフォームから一時停止されます。

「また、悪用される可能性を防ぐために侵害された可能性のあるアクセストークンを自動的に取り消し、影響を受けると思われるアクセストークンに警告します」とガーフィンケル氏は語った。

セキュリティエンジニアリングマネージャーは、Facebookは「脆弱なアプリまたはWebサイトの使用中にデバイスとの間で送受信されたデータを受動的に表示することによってバグが発見された場合のみ」レポートを受け入れると指摘しました。言い換えると、研究者は「デバイスからアプリまたはウェブサイトに送信されたリクエストを操作したり、レポートの送信に関連してアプリまたはウェブサイトの通常の機能を妨害したり」することは許可されていません。

互いに独立して作業している2人が欠陥を報告した場合、最初に報告を提出した人に支払いが行われます。そして、研究者が寛大な気持ちで、慈善団体に賞金を寄付したい場合、Facebookは寄付の価値を2倍にします。

そのバグ報奨金プログラムの拡大は、Facebookがデータ乱用報奨金プログラムを開始してから4か月後に発生します。これは、サードパーティのアプリが政治的利益のために最大8700万人のFacebookユーザーのデータを収集するのに役立ちました。これにより、ソーシャルネットワーキング会社がユーザーデータを処理する方法について大きな疑問が生じました。

Data Abuse Bountyプログラムは、データを悪用するFacebookに接続されたアプリまたはサービスを発見して報告したユーザーに報酬を提供します。具体的には、「Facebookプラットフォームアプリが人々のデータを収集して他の当事者に転送し、販売、盗難、または詐欺や政治に使用します。影響力」と語った。

Facebookは業界初のData Abuse Bounty Programについて説明しました。