» »

Facebook širi program nagrajevanja odkritih ranljivosti

Facebook širi program nagrajevanja odkritih ranljivosti

Bloomberg - Facebook se je lani pridružil Googlu in Mozilli ter začel finančno nagrajevati odkrite ranljivosti. Kdor v njihovih izdelkih najde kakšno luknjo in jo javi Facebooku, lahko prejme od 500 do 10.000 dolarjev, odvisno od resnosti odkrite ranljivosti. Do danes so razdelili že 400.000 dolarjev. Sedaj pa se je Facebook odločil, da bodo svoj program razširili in začeli nagrajevati tudi posameznike, ki bodo odkrili luknje v Facebookovem notranjem komunikacijskem omrežju (torej v informacijski hrbtenici podjetja) in ne le v končnih izdelkih.

To odločitev je vzpodbudil majski dogodek, ko so dobili poročilo, da je nekdo odkril veliko luknjo v njihovem notranjem omrežju. Hitro so jo zakrpali, nato pa so se odločili, da prijavitelja nagradijo. Vse skupaj je sedaj uradno, saj so program razširili. Zgornje meje niso postavili, tako da lahko milijonov dolarjev vredna luknja dejansko prinese milijon dolarjev nagrade, pojasnjuje Ryan McGeehan, ki v Facebooku vodi enoto za varnostne incidente. Niso sicer povedali, kdo bo vrednost luknje določil, a v vsakem primeru svojo ceno postavi tudi črni trg. Tam se z odkritimi ranljivostmi živahno trguje in če želi Facebook konkurirati tem kanalom (in ne le upati na viteštvo hekerjev), mora imeti vsaj primerljive cene.

Vodilni pri nagrajevanju je Google, ki je do danes izplačal že več kot milijon dolarjev za odkrite luknje v Chromu. Mozilla je razdelila okoli 600.000 dolarjev, Facebook pa 400.000 dolarjev. Bistvena razlika pa ostaja, da Google eksplicitno prepoveduje odkrivanje in poročanje ranljivosti v njihovem internem omrežju, za kar vas lahko tudi pravno preganjajo. Mozilla tu nima mnenja, a teh ranljivosti ne nagrajuje. Facebook pa se je odločil za diametralno nasproten pristop. To je razumljivo, saj imajo skoraj milijardo uporabnikov, kar predstavlja eno največjih zbirk osebnih podatkov na svetu. Če bi jim ta ušla, bi poleg ugleda to pošteno osušilo tudi Facebookov bančni račun. A po drugi strani so sedaj izzvali prav vse hekerje, da poiščejo ranljivosti v njihovih omrežjih.

5 komentarjev

Jst ::

Meni se pa te zneski zdijo nekam majhni - glede na velikost podjetij in njihov income, bi pričakoval kakšno nulo več na koncu.

Googlov javni nastop, ki prepoveduje odkrivanje ranljivosti po njihovi hrbtenici, se mi zdi še bolj zgrešen. OK, da javno ne vabijo "zlomite naš sistem" razumem, ampak bolj se mi zdi, da če nekdo odkrije ranljivost in to sporoči Googlu, ga ne bodo šli tožiti, kakor uradno pravijo, ampak bo dobil lep kupček denarja in NDA.
Islam is not about "I'm right, you're wrong," but "I'm right, you're dead!"
-Wole Soyinka, Literature Nobelist
|-|-|-|-|Proton decay is a tax on existence.|-|-|-|-|

lunamit ::

Seveda da ga bodo šli tožit. Prej ali slej bi se razvedelo, da je našel ranljivost in za to dobil nagrado in s tem da bi ga nagradili bi efektivno "vabili" hekerje, da naj zlomijo sistem.
Drugače se pa tudi meni zdijo tile zneski nekam niski, google malo če milijon vse skupaj? Verjetno je ena luknja vredna več na črnem trgu.

PS: šele sedaj sem "skapiral", kaj si naj bi NDA pomenilo - non disclosure agreement, spet po slo-tech-ovsko z kraticami in url-ji, namesto da bi v enem sestavku napisal kar misliš brez raznih kratic, sploh če niso takoj jasne kaj naj bi pomenile. Pišeš v slovenščini in navajaš kratico, ki je v angleščini.

PPS: moj PS ni letel konkretno samo na uporabnika Jst, ampak na vse uporabnike, ki to radi počnejo z raznimi IMO, IMHO, IIRC, ATM, FUD, ... da omenim samo nekaj najbolj pogostih in nepotrebnih, kaj šele kakšne težje, da človek še s pomočjo googla ne more biti prepričan kaj avtor komentarja mislil v komentarju. Opažam pa, da je tega zadnje čase veliko manj.
There are 10 types of people. Those who understand binary and those who don't.

nekikr ::

NDA je zelo razširjena kratica in je ni smiselno prevajati. Še posebej, ker imaš strica googal za vsakim vogalom, če res kaj ne razumeš.

techfreak :) ::

Navedene kratice so na internetu zelo razširjene in razumljive s strani večine uporabnikov takšnih strani/forumov.

Jst ::

lunamit: jaz sem freelance programer, ki sem večkrat delal projekte tudi za in v tujini. Vedno se podpiše NDA (tudi v Slo). To je zame splošna beseda, ki jo pišem iz podzavesti.

Imaš pa prav glede kratic - se strinjam s teboj. Mene tudi motijo, ker sploh starejši, velikokrat nimamo pojma, kaj kakšna kratica pomeni in moraš vprašati stica googla. To pa moti branje odgovorov in potem včasih čisto fališ point, ki ga je človek hotel povedati.
Islam is not about "I'm right, you're wrong," but "I'm right, you're dead!"
-Wole Soyinka, Literature Nobelist
|-|-|-|-|Proton decay is a tax on existence.|-|-|-|-|


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Apple ponuja milijon dolarjev za odkrite ranljivosti

Oddelek: Novice / Varnost
74279 (3328) MrStein
»

Cene za ranljivosti v programski opremi rastejo

Oddelek: Novice / Varnost
65763 (4932) FTad
»

Applov lov na luknje ne deluje

Oddelek: Novice / Varnost
53754 (3022) MIHAc27
»

Za vdor v iPhone poldrugi milijon dolarjev

Oddelek: Novice / Varnost
64447 (2774) no comment
»

Tudi Microsoft bo plačeval za najdene ranljivosti

Oddelek: Novice / Varnost
134775 (3429) filip007

Več podobnih tem