H μητρική εταιρεία του Facebook Meta ανακοίνωσε σήμερα ότι το πρόγραμμα επιβράβευσης σφαλμάτων θα καλύπτει ευπάθειες που μπορούν να αξιοποιηθούν για να παρακάμψουν τις διασφαλίσεις ακεραιότητας.
Η επέκταση του προγράμματος, λέει η εταιρεία, έχει σκοπό να κατευθύνει την προσοχή των ερευνητών σε ζητήματα ασφάλειας που ενδέχεται να εκμεταλλευτούν οι εισβολείς για να παρακάμψουν συγκεκριμένους ελέγχους ακεραιότητας που αποσκοπούν στον περιορισμό των συμπεριφορών κατάχρησης.
Τέτοιοι έλεγχοι περιλαμβάνουν υποχρεωτικό έλεγχο ταυτότητας δύο παραγόντων για συγκεκριμένους λογαριασμούς διαχειριστών επιχειρήσεων, τη διαδικασία επαλήθευσης εφαρμογών του Facebook ή επιβολή περιορισμών χαρακτηριστικών.
Για παράδειγμα, η Meta είναι πρόθυμη να πληρώσει ερευνητές για αναφορές σχετικά με ζητήματα που ενδέχεται να επιτρέψουν την παράκαμψη της κατάστασης καραντίνας στην οποία τοποθετείται αυτόματα μια επιχείρηση όταν παραβιάζουν τις πολιτικές του Facebook. ή σφάλματα που οδηγούν σε παραβίαση των περιορισμών που επιβάλλονται σε άλλες επιχειρήσεις ή στις εκκλήσεις τους σε περιορισμούς.
Οι ερευνητές που εντοπίζουν τελικά σημεία που ενδέχεται να εκτελούν ευαίσθητες ενέργειες χωρίς να ενεργοποιούν μια προτροπή ελέγχου ταυτότητας δύο παραγόντων (2FA) του Business Manager ενδέχεται να λάβουν έως και 2.000 $ για τις αναφορές τους.
Η Meta λέει επίσης ότι είναι πρόθυμη να πληρώσει καλά χρήματα για ευπάθειες που εντοπίστηκαν στην υποδομή πληρωμών διαφημίσεων.
Έτσι, οι ερευνητές ενδέχεται να λάβουν ανταμοιβές έως και 20.000 $ για ζητήματα που τους επιτρέπουν να “δημιουργήσουν ένα αυθαίρετο ποσό προπληρωμένου υπολοίπου χωρίς τη χρήση έγκυρης μεθόδου πληρωμής” ή έως και 15.000 $ για σφάλματα που τους επιτρέπουν να “αφαιρούν ένα αυθαίρετο οφειλόμενο υπόλοιπο χωρίς μια έγκυρη πληρωμή», λέει η εταιρεία.
Τα ελαττώματα που επιτρέπουν στους ερευνητές να παραβιάζουν τις μετρήσεις στο Facebook Audience Network θα ανταμειφθούν επίσης. Η υψηλότερη πληρωμή επιχορηγήσεων – 10.000 $ – θα πάει σε αναφορές που καταδεικνύουν την “ικανότητα να λάβετε πίστωση για την απόδοση μιας εγκατάστασης μέσω μιας διαφήμισης” χωρίς αλληλεπίδραση με τον χρήστη.
Η Meta θα πληρώσει έως και 20.000 $ σε ερευνητές που επιδεικνύουν μια μέθοδο δημιουργίας εσόδων από διαφημίσεις μέσω ψεύτικων εμφανίσεων (χωρίς χρήση εξωτερικών botnet, σεναρίων, κοινωνικής μηχανικής ή ψεύτικων λογαριασμών).
Τα σενάρια που επηρεάζουν την ακεραιότητα των διαφημίσεων που εμφανίζονται στο δίκτυο κοινού Facebook εμπίπτουν επίσης στο πεδίο εφαρμογής του προγράμματος επιβράβευσης σφαλμάτων. Τα νέα διανύσματα επίθεσης που είναι επίσης εξαιρετικά επεκτάσιμα και εκμεταλλεύσιμα μπορούν να λάβουν ανταμοιβές bounty bug έως και $10.000.
Η Meta επέκτεινε επίσης το πρόγραμμα επιβράβευσης σφαλμάτων για να συμπεριλάβει ευπάθειες στη διαδικασία ελέγχου της εφαρμογής της και ζητήματα που επιτρέπουν την παραβίαση της ταυτότητας μιας εφαρμογής μετά την ολοκλήρωση της διαδικασίας ελέγχου.
Επιπλέον, η πλατφόρμα κοινωνικής δικτύωσης θα επιβραβεύει ζητήματα που επιτρέπουν στις εφαρμογές να συνεχίσουν να έχουν πρόσβαση σε πληροφορίες χρήστη μετά την παρέλευση μιας περιόδου χάριτος 90 ημερών από την τελευταία φορά που το άτομο χρησιμοποίησε την εφαρμογή, καθώς και σφάλματα που επιτρέπουν στις εφαρμογές να παρακάμπτουν τα όρια ποσοστών που έχει επιβάλει το Facebook στο API κλήσεις.
Η Meta ανακοίνωσε επίσης ανταμοιβές bounty bug για ευπάθειες που παρακάμπτουν ποινές – όπως αναστολές ή απενεργοποίηση λογαριασμών χρήστη – που έχουν επιβληθεί για παραβιάσεις πολιτικής. Ζητήματα που επιτρέπουν την παράκαμψη ή την τροποποίηση των προσφυγών ενός χρήστη σε αυτές τις επιβολές εμπίπτουν επίσης στο πεδίο εφαρμογής του προγράμματος επιβράβευσης σφαλμάτων.