Năm 2015, Facebook đã chi gần 1 triệu USD tiền thưởng cho các nhà nghiên cứu bảo mật đã tìm ra lỗi trong sản phẩm của công ty.
Facebook vừa thông báo họ đã chi số tiền 936.000 USD cho 210 nhà nghiên cứu bảo mật trong năm 2015 vừa qua. Đây là số tiền mà Facebook thưởng cho các nhà nghiên cứu bảo mật vì đã phát hiện ra lỗ hổng, lỗi trên các sản phẩm và báo lại cho công ty.Tính đến thời điểm này, Facebook đã chi khoảng 4,3 triệu USD tiền thưởng cho 800 nhà nghiên cứu bảo mật để đổi lại 2.400 báo cáo từ họ. Chương trình này được Facebook giới thiệu từ tháng 8 năm 2011.
Tổng chi cho các nhà nghiên cứu bảo mật trong năm 2015 thấp hơn các năm trước. Cụ thể, năm 2014, Facebook trả cho 321 nhà nghiên cứu an ninh 1,3 triệu USD và 1,5 triệu USD cho 330 nhà nghiên cứu trong năm 2013. Trong năm 2013, 2014 Faecbook đã nhận được 14.763 đến 17.011 báo cáo từ các nhà nghiên cứu bảo mật. Con số này trong năm 2015 hạ xuống còn 13.233 báo cáo lỗi từ 5543 nhà nghiên cứu ở 127 quốc gia. Số tiền trung bình trong một lần thanh toán của Facebook cho các nhà nghiên cứu bảo mật trong năm 2015 đạt 1780 USD, giảm nhẹ so với 1788 USD năm 2014.
Facebook cho biết trong năm 2015 có 102 báo cáo lỗi được phân loại là ảnh hưởng cao đến các sản phẩm của công ty, tăng 38 phần trăm so với năm 2014. Công ty nói rằng chất lượng các báo cáo trong năm 2015 cũng tốt hơn hẳn so với những năm khác.
Trong năm 2015, Facebook chi nhiều nhất cho 3 khoảng tiền thưởng sau:
- Messenger Web dính lỗi thiếu công cụ ngăn chặn Cross Site Request Forgery (CSRF: tấn công mượn quyền trái phép) khi giới thiệu website messenger.com. Chỉ trong vòng vài phút sau khi ra mắt, Facebook đã nhận được 15 báo cáo từ các nhà bảo mật cho biết về lỗi này. Kết quả, Jack Whitton là người báo cáo đầu tiên và nhận được phần thưởng của Facebook.
- Lợi dụng tìm kiếm GraphQL để tìm hiểu về các dữ liệu ẩn: Philippe Harewood nhận thấy rằng kết quả tìm kiếm GraphQL cho phép truy vấn đến các dữ liệu ẩn trong hệ thống và đã báo cáo vấn đề này cho Facebook.
- Lỗi cho phép bỏ qua CSRF trên diện rộng khiến website mất khả năng phòng chống các cuộc tấn công mượn quyền trái phép.
Không giống như hai năm vừa qua, Facebook năm nay không có thêm hạn mục nào mới trong phạm vi chương trình phát thưởng cho những người tìm ra lỗi (Oculus và Moves trong năm 2015; Parse, Atlas và Onavo năm 2014) nên sẽ không ngạc nhiên khi số tiền thưởng Facebook chi trong năm 2016 sẽ càng thấp hơn.
Tham khảo: http://venturebeat.com
0 nhận xét Blogger 0 Facebook
Đăng nhận xét