A Google nyomdokaiba lépett a Facebook

Az alkalmazásokban lévő sebezhetőségek felkutatása minden fejlesztőcég számára rendkívül fontos feladat. Eddig már több vállalat határozott úgy, hogy pénzjutalommal próbálja rávenni a biztonsági kutatókat és a hekkereket arra, hogy az általuk feltárt hibákat elsőként a fejlesztőknek jelentsék, és ne publikálják azokat az interneten azelőtt, hogy a rendellenességeket meg lehetne szüntetni. A biztonsági rések felfedezőit az elsők között a Mozilla jutalmazta, majd a Google is úgy határozott, hogy a Chrome böngészőjének kapcsán bevezeti az úgynevezett "Bug Bounty" programot. A Google 2010 óta működő kezdeményezése beváltotta a hozzá fűzött reményeket. A cég jelenleg 3,133.70 dollárt fizet a legsúlyosabb sérülékenységek felfedezőinek. „Nagyon boldogok vagyunk a jutalmazási rendszerünk sikere miatt. Eddig már 300 ezer dollárt osztottunk ki, és számos érdekes sérülékenység jutott a tudomásunkra" - mondta a Google szóvivője.

Úgy tűnik, hogy a Facebook is fellelkesedett a Google sikereinek láttán, hiszen bejelentette, hogy elindítja a saját jutalmazási rendszerét. Ennek keretében azon sebezhetőségek után fognak fizetni, amelyek veszélyeztetik a közösségépítő integritását, a felhasználók adatait és a rendszer működését. Az üzemeltetők a kiosztható pénzdíjakkal kapcsolatban egyelőre meglehetősen szűkszavúan nyilatkoztak. Annyit azért elárultak, hogy egy XSS (cross site scripting) alapú támadásokra lehetőséget adó biztonsági résért 500 dollárt fognak fizetni. Az ennél nagyobb horderejű sebezhetőségekért odaítélhető jutalom összegéről azonban nem kívántak beszámolni.

A Facebook és a hekkerközösségek

A Facebook számára az etikus hekkerekkel és a biztonsági kutatókkal való együttműködés eddig is meglehetősen gyümölcsöző volt. Alex Rice, a Facebook egyik biztonsági vezetője elmondta, hogy ez idáig hetente körülbelül 30-50 bejelentést kaptak különféle sérülékenységekkel kapcsolatban, amelyek közül átlagosan 1-5 bizonyult valóban veszélyesnek és kihasználhatónak. A szakember szerint e rendellenességek többsége cross site scripting hiba volt.

Joe Sullivan, a Facebook biztonsági igazgatója jelezte, hogy továbbra is nagyon fontosnak tartják a hekkerközösségekkel való jó kapcsolatok kiépítését, illetve ápolását. A cég két éve szponzorálja a Defcon hekkerkonferenciát, amely az igazgató szerint nagyon jó lehetőséget teremt arra, hogy a biztonsági szakemberek új technikákkal ismerkedjenek meg, és a tehetséges szakemberek megmutathassák, hogy valójában mire is képesek.

A Facebook a sérülékenységek bejelentéséhez egy weboldalt tett elérhetővé, és arra is lehetőséget biztosít, hogy a biztonsági rések felfedezőinek neve megjelenjen az oldalon. A Facebook szerint erre azért van szükség, mert sok szakember nem kizárólag a pénzjutalomra hajt, hanem sokkal fontosabb számukra a hírnév és az elismerés, amit aztán a karrierjük építése során előnyösen fel tudnak használni.