Facebook

Algunas de las más grandes compañías tecnológicas tienen programas de recompensas para los investigadores de seguridad que encuentren errores en sus productos. Facebook es una de ellas y sin duda alguna es de las más activas. Hoy, la red social ha anunciado que tan sólo el año pasado pagó 936.000 dólares a más de 210 investigadores que reportaron 526 errores.

Junto a esto, la compañía hizo un recuento total. Desde el nacimiento del programa en agosto del 2011, más de 4,3 millones de dólares fueron repartidos a 800 investigadores por sus 2.400 errores detectados.

El 2015 pareció prolífico, sin embargo, no lo fue tanto. En el 2014, Facebook pago 1,3 millones de dólares a 321 investigadores, mientras que en el 2013 la compañía distribuyó 1,5 millones a 330 investigadores.

Por otro lado, el año pasado también descendió – mínimamente-  el pago promedio por un reporte valido, de 1.788 dólares en el 2014 a 1.780 en el 2015.

Lo que subió fue la cantidad de reportes enviados, contando los que no fueron válidos. En 2015 la compañía recibió 13.233 reportes de 5.543 investigadores de más de 127 países, aunque, como hemos visto, la gran mayoría no fueron aprobados.

Al igual que lo hizo Google cuando publicó los datos de su programa de recompensas, Facebook resaltó tres reportes específicos:

  • Durante el lanzamiento de Messenger para Web, el sitio perdió la protección contra ataques CSRF, en minutos se recibieron más de 15 reportes y el problema se arregló muy rápido. Jack Whitton fue el primero en hacer este reporte y el recibió una buena recompensa.
  • Philippe Harewood encontró que los resultados de búsqueda de GraphQL permitían a la persona hacer peticiones de datos que de otra forma no podrían ver.
  • Pouya Darabi descubrió que si tomaba un parámetro de la URL de una petición y la ponía en otra URL y luego publicaba una petición a esta URL podía burlar la seguridad anti-CSRF.

Facebook seguirá con su programa de recompensas este año sin ninguna novedad. A diferencia del año pasado cuando agregó Oculus y Moves, probablemente al final de 2016 los números vuelvan a bajar por esta misma razón.

Fuente: VentureBeat

No hay comentarios

Dejar una respuesta