A tech világban otthonosan mozgók minden bizonnyal jól tudják, hogy a kisebb és nagyobb informatikai vállalatok az etikus hackereket mozgósító „bug bounty”, vagyis hibavadász programot is működtetnek. Ennek lényege, hogy ha valaki a rendszerükben, vagy a programjukban valamilyen hibát észlel és azt jelenti, annak súlyosságától függően jutalomban részesítik.

Ilyen programja természetesen a Facebooknak is van, sőt, a közelmúltban osztottak ki két etikus hacker között 16 millió forintot.

A Security Week számolt be arról, hogy a Facebook 40.000 dollárral, körülbelül 12 millió forinttal jutalmazott egy programozót, amiért az egy különösen veszélyes biztonsági résre mutatott rá. A sebezhetőség egészen konkrétan lehetővé teszi a támadó számára, hogy teljesen átvegye az irányítást egy Facebook profil fölött úgy, hogy a felhasználó email címét vagy a telefonszámát használva megváltoztassa a hozzájuk tartozó fiók(ok) jelszavát.

Pontos részleteket nem tudunk, de a hibát a programozó azonnal jelentette. A Facebook szerint szerencsére ilyen módon nem történt visszaélés, a biztonsági rést pedig befoltozták.

A másik jutalmat annak a személynek adták, aki ennél egy kisebb, de ugyancsak fontos hibára hívta fel a figyelmet. Hősünk ugyanis felfedezte, hogy az újonnan a profilokhoz adott email címek és telefonszámok hiába mutatják a láthatósági opcióknál a „Csak én” beállítást, azok alapból a „Barátokra” van beállítva. Így pedig a felhasználó azt hiheti, hogy a privát infóit csak ő láthatja, más nem.

Ez a felfedezés 15.000 dollárt, vagyis 4,3 millió forintot ért.

Idén nem ezek voltak a Facebook első nagyobb mértékű jutalmazásai. Márciusban például egy etikus hackernek fizettek 50.000 dollárt, amiért SSRF (server-side request forgery) módszerrel bejutott a közösségi platform belsős hálózatába, aki képes volt a helyi szerverek portjait letapogatni, böngészni a helyi alkalmazásokat/hálózati alkalmazásokat, amiket a vállalat az infrastruktúrájában használ.

via – Secutity Week