0
0
A Meta, controladora do Facebook, pagará até US$ 300.000 a pesquisadores de segurança que relatarem vulnerabilidades exploráveis de execução remota de código (RCE) nas versões Android e iOS do Facebook, Messenger, Instagram e WhatsApp.
A quantidade real varia dependendo da quantidade de interação do usuário – medida em “cliques” – para acionar a falha. Para se qualificar para o pagamento máximo, um pesquisador de segurança precisaria incluir um código de prova de conceito funcional para explorar a falha em qualquer uma das duas versões atuais ou anteriores do Android ou uma versão atualmente suportada do iOS da Apple.
Diretrizes de pagamento atualizadas
Além das diretrizes atualizadas para RCE móvel, a Meta esta semana também divulgou novas diretrizes de pagamento para vulnerabilidades de bypass de aquisição de conta (ATO) e autenticação de dois fatores (2FA).
O pagamento máximo para uma falha 2FA é de US$ 20.000, enquanto o de uma vulnerabilidade ATO é de US$ 130.000. Aqui, novamente, o pagamento real dependerá da facilidade com que um invasor pode explorar uma vulnerabilidade. Por exemplo, um pesquisador que relata e demonstra um bug de autenticação de clique zero explorável pode obter o pagamento de $ 130.000, enquanto um ATO de um clique buscará uma recompensa de $ 50.000.
A empresa também introduziu novas diretrizes de pagamento para bugs relatados em seu Meta Quest Pro e outras tecnologias de realidade virtual (VR), tornando a Meta uma das primeiras empresas a definir recompensas por vulnerabilidades em dispositivos de realidade virtual e realidade mista.
As diretrizes de pagamento atualizadas da Meta para bugs RCE móveis e suas novas recompensas para ATO e falhas de bypass de autenticação são os ajustes mais recentes no programa de recompensas de quase 11 anos da empresa. Sob ela, a Meta pagou até agora cerca de US$ 16 milhões para pesquisadores freelancers de todo o mundo que relataram bugs em suas plataformas online.
As mudanças mais recentes fazem parte do esforço da empresa para garantir que as recompensas por bugs que a Meta oferece e os produtos cobertos pelo programa permaneçam alinhados com as ameaças em evolução, diz Neta Oren, engenheira de segurança que lidera a iniciativa de recompensas por bugs da Meta.
“Todos os anos, continuamos a aprender coisas novas sobre como nos envolver melhor com a comunidade e ajustar nosso programa para abordar algumas das áreas de maior impacto em espaços em evolução”, diz Oren. “Nosso programa cresceu de apenas cobrir a página da Web do Facebook em 2011 para agora cobrir todos os nossos clientes da Web e móveis em nossa família de aplicativos, incluindo Instagram, WhatsApp, Oculus, Workplace e muito mais.”
Cibersegurança colaborativa
O programa de recompensas de bugs da Meta é semelhante aos de centenas de outras empresas que implementaram programas de caça a vulnerabilidades de crowdsourcing nos últimos anos. Muitos especialistas em segurança consideram esses programas uma maneira relativamente econômica de encontrar vulnerabilidades que as equipes de segurança internas podem ter deixado passar. Os programas oferecem aos hackers éticos uma maneira estruturada de encontrar e relatar vulnerabilidades que possam descobrir em um site ou aplicativo da Web — e receber uma recompensa por seu esforço.
Muitos desses programas incluem cláusulas Safe Harbor que isentam os pesquisadores de segurança que trabalham sob o programa de recompensas de bugs da responsabilidade legal por suas pesquisas. Para os fornecedores, os programas oferecem uma maneira de fazer com que pesquisadores de segurança de alto nívelrealizem testes de penetração em suas plataformas de maneira relativamente econômica. É importante ressaltar que também oferece a eles uma chance melhor de garantir que os pesquisadores relatem uma vulnerabilidade diretamente a eles, em vez de divulgá-la publicamente antes que uma correção esteja disponível ou, pior ainda, vendê-la a um comprador do mercado paralelo.
Alguns, no entanto, alertaram sobre o colapso de tais programas com o volume de relatórios de bugs que os pesquisadores podem enviar, especialmente se a equipe de segurança da organização não estiver madura ou pronta o suficiente para respondê-los.
Grande Volume de Relatórios
Desde que o Facebook lançou seu programa de recompensas por bugs em 2011, a empresa recebeu mais de 170.000 relatórios de caçadores de bugs em todo o mundo. A empresa identificou mais de 8.500 desses relatórios como divulgações de vulnerabilidade válidas, pelas quais pagou um total de US$ 16 milhões em recompensas.
Até agora neste ano, a Meta recebeu cerca de 10.000 relatórios de pesquisadores em 45 países e emitiu recompensas totalizando mais de US$ 2 milhões por 750 ou mais vulnerabilidades identificadas. Índia, Nepal e Tunísia lideraram a lista de países em termos de recompensas concedidas até agora este ano.
“Um benefício de ter um programa de recompensas de mais de 10 anos é que alguns de nossos pesquisadores dedicaram anos à caça em nossa plataforma e se tornaram extremamente familiarizados com nossos produtos e serviços”, diz Oren. “Esses pesquisadores são capazes de ir além dos problemas superficiais e nos ajudar a identificar bugs impactantes, mas de nicho, que a comunidade em geral não saberia necessariamente procurar”.
Um exemplo de impacto, mas de nicho, foi uma aquisição de conta e um problema de cadeia de bypass 2FA que um pesquisador de segurança de longa data relatou este ano no fluxo de recuperação de conta baseado em número de telefone do Facebook; a vulnerabilidade pode ter permitido a um invasor redefinir senhas e assumir contas desprotegidas por 2FA. A Meta concedeu US$ 163.000 pela descoberta.
FONTE: DARK READING