Facebook širi program nagrajevanja odkritih ranljivosti
Matej Huš
28. jul 2012 ob 23:16:06
Facebook se je lani pridružil Googlu in Mozilli ter začel finančno nagrajevati odkrite ranljivosti. Kdor v njihovih izdelkih najde kakšno luknjo in jo javi Facebooku, lahko prejme od 500 do 10.000 dolarjev, odvisno od resnosti odkrite ranljivosti. Do danes so razdelili že 400.000 dolarjev. Sedaj pa se je Facebook odločil, da bodo svoj program razširili in začeli nagrajevati tudi posameznike, ki bodo odkrili luknje v Facebookovem notranjem komunikacijskem omrežju (torej v informacijski hrbtenici podjetja) in ne le v končnih izdelkih.
To odločitev je vzpodbudil majski dogodek, ko so dobili poročilo, da je nekdo odkril veliko luknjo v njihovem notranjem omrežju. Hitro so jo zakrpali, nato pa so se odločili, da prijavitelja nagradijo. Vse skupaj je sedaj uradno, saj so program razširili. Zgornje meje niso postavili, tako da lahko milijonov dolarjev vredna luknja dejansko prinese milijon dolarjev nagrade, pojasnjuje Ryan McGeehan, ki v Facebooku vodi enoto za varnostne incidente. Niso sicer povedali, kdo bo vrednost luknje določil, a v vsakem primeru svojo ceno postavi tudi črni trg. Tam se z odkritimi ranljivostmi živahno trguje in če želi Facebook konkurirati tem kanalom (in ne le upati na viteštvo hekerjev), mora imeti vsaj primerljive cene.
Vodilni pri nagrajevanju je Google, ki je do danes izplačal že več kot milijon dolarjev za odkrite luknje v Chromu. Mozilla je razdelila okoli 600.000 dolarjev, Facebook pa 400.000 dolarjev. Bistvena razlika pa ostaja, da Google eksplicitno prepoveduje odkrivanje in poročanje ranljivosti v njihovem internem omrežju, za kar vas lahko tudi pravno preganjajo. Mozilla tu nima mnenja, a teh ranljivosti ne nagrajuje. Facebook pa se je odločil za diametralno nasproten pristop. To je razumljivo, saj imajo skoraj milijardo uporabnikov, kar predstavlja eno največjih zbirk osebnih podatkov na svetu. Če bi jim ta ušla, bi poleg ugleda to pošteno osušilo tudi Facebookov bančni račun. A po drugi strani so sedaj izzvali prav vse hekerje, da poiščejo ranljivosti v njihovih omrežjih.