Хакеры заработали на Facebook первые $40 000. Социальная сеть платит за обнаружение "дыр", которые могут грозить утечкой персональных данных.
автор: Анастасия Матвеева
31 августа 2011
Ранее к рекламодателям утекли миллионы аутентификационных ключей к профилям пользователей Facebook.
Cоциальная сеть Facebook начала платить хакерам за выявление недостатков в работе сайта. Первые уязвимости, на которые указали сторонние программисты, администрация социальной сети оценила в $40 000.
В конце июля социальная сеть объявила о намерении установить денежные премии для частных специалистов, которые выявляют недостатки в работе сети. Деньги выплачиваются в том случае, если обнаруженные "дыры" могут "подвергнуть опасности персональные данные пользователей Facebook".
Минимальное вознаграждение для хакеров установлено в размере $500.
Facebook часто критикуют за "дыры", чреватые масштабными утечками личных данных пользователей социальной сети. "Машиной для шпионажа" назвал ее основатель Wikileaks Джулиан Ассанж. А сотрудники антивирусной компании Symantec Нишант Доши и Кандид Вест выяснили: в течение нескольких лет посторонние имели возможность не только просматривать, но и управлять данными профилей пользователей сети. Доступ к личным данным открылся через тэг IFRAME, с помощью которого загружаются приложения в Facebook. При установке приложений разработчики получали аутентификационные тоукены (ключи), которые содержались в ответной ссылке от Facebook. К рекламодателям утекли миллионы аутентификационных ключей к профилям пользователей социальной сети.
На фоне постоянной критики администрация сети утвердила "политику доброжелательности" к хакерам (их в компании называют "внешними экспертами в области безопасности".
После утверждения этой программы один "независимый программист" получил более $7 000 за выявление шести уязвимых мест, указано в блоге главы отдела безопасности соцсети Джо Салливана. Facebook также выплатила $5 тысяч за еще один "действительно хороший отчет".
"Мы понимаем,… что во всем мире существует множество талантливых экспертов в области безопасности, а также тех, у кого могут быть благие намерения, но которые не работают на Facebook, — говорит Салливан. — Мы создали программу "bug bounty" (вознаграждение за обнаружение ошибок) в целях признания и поощрения этих людей за качественную работу, и призываем других присоединиться к нам".
С момента запуска программы, социальная сеть уже получила отчеты от программистов из 16 стран мира. Салливан уверяет, что новый подход Facebook оправдал себя.
"Мы с готовностью вступили в диалог о проблемах сети, чтобы услышать различные точки зрения, разных людей. В частности, благодаря этой программе, мы сделали сайт более безопасным — выявляя проблемы, значительные и не очень, предоставляя панораму новых векторов атак".
Недостатком нововведения стало то, что Facebook приходится иметь дело и с фальшивыми отчетами — их часто присылают программисты, ищущие известности, отметил Салливан.
Политика Facebook распространена среди технологических компаний. Корпорации Google и Mozilla вознаграждают сторонних программистов, которые обнаруживают уязвимости в своих системах. Hewlett-Packard также платит за предупреждение об угрозах бизнесу HP.