趋势网(微博)讯:
Facebook发布消息:自“Bug Bounty”找漏洞项目启动两年以来,已向329位安全漏洞研究者奖励超过一百万。据该公司透露,这些研究者来自于51个不同的国家,其中只有20%是来自于美国国内的研究者。
得奖金最多的5个国家分别为美国、印度、英国、土耳其和德国,而奖金增长速度最快的10个国家分别为美国、印度、土耳其、以色列、加拿大、德国、巴基斯坦、埃及、巴西和瑞典。
Facebook表示,这一项目比该公司最初预期更为成功。目前,Facebook已将两名奖金获得者聘请为信息安全团队的全职员工。
Facebook信息安全工程师科林•格林(Collin Greene)在一份公告中称:“这一初步进展令人鼓舞。对于确保Facebook的安全,这样的项目能带来巨大影响。毕竟,无论我们对信息安全的投入有多少,尽管我们的确在这方面花了不少心血,我们的团队永远都不可能拥有世界上全部最聪明的人才,也无法以所有方式去看待一个非常复杂,存在漏洞的系统。而Bug Bounty项目能帮助我们利用拥有各种不同背景,来自全世界的人才以及他们看待问题的角度来发现漏洞。”
Facebook计划继续拓展该项目,但对于细节问题则避而不谈。目前,在确定应当为某一漏洞向研究者提供多少奖金时,Facebook通常会用以下4项标准来衡量:
1、漏洞的影响:这些漏洞是否会让人趁机接触到facebook的私人资料或者删除资料,甚至是修改帐号?是否能正常运行facebook.com网页脚本?这些都是高危漏洞,也都是最重要的特性,对程序的开发有着重大影响。Facebook之所以提供奖励以保护用户,是因为这些高危漏洞越是影响越是广泛,对客户的伤害就越大。
2、漏洞报告的质量:漏洞研究者能否提供如何复制事件的细节以及易于执行的指令?能否为观点提供证据或者截图?所提交漏洞报告的质量评估至关重要。Facebook 此举是对真正做出实事的人给予的奖励。
3、漏洞针对的目标:Facebook.com、Instagra m应用程序、虚拟机和facebook手机应用程序都是该项目极其有研究价值的目标。这个项目比facebook本身编写出漏洞编码或者和用户资料无关的漏洞获得的利润更多。
4、是否有助于发现更多漏洞:能引发facebook更多安全漏洞的漏洞,将会使facebook蒙受更大的损失。在这种情况下,原始漏洞将变得更有价值。因为解决该漏洞随之而来的问题会更棘手。
另外,趋势网海外小编还获悉,谷歌和Mozilla目前也在开展找漏洞项目,微软近期也加入其中。在“Bug Bounty”找漏洞项目中,Facebook已经在业界获利颇丰,该项目仍将继续进行。