Октябрь 17, 2014

Facebook решила удвоить вознаграждение на найденные уязвимости, связанные с кодом, который управляет её рекламной системой. Об этом было объявлено 15 октября 2014 г.

В соответствии с правилами программы выплаты вознаграждений, минимальный размер выплаты составил 500 долларов, но к концу текущего года сумма равна 1000 долларов.

Инженер отдела безопасности Facebook Колин Грин сообщил, что код, который управляет рекламными программами, недавно был тщательно проверен на предмет безопасности, однако Facebook рассчитывает на дополнительные усилия "белых хакеров" по поиску пропущенных недоработок.

Инструменты по рекламе в Facebook включают в себя менеджер рекламы, рекламный API и систему сбора и обработки статистики в реальном времени Analytics, известную также как Insights. Кроме того, компания просит обратить внимание на код сервера системы биллинга.

Существует множество кодов серверов, которые позволяют корректно собирать информацию об использовании рекламных услуг, рассчитывать их стоимость и выставлять счета. До этого кодов нет прямого доступа через web-сайты, однако из-за некоторых недоработок они остаются достаточно уязвимыми.

Эксперт также сообщил, что Facebook обычно выявляет такие бреши, как ошибки аутентификации, межсайтовую подделку запроса (CSRF), недостаточное ограничение трафика, а также уязвимости в Flash-плеере.

Напомним, в прошлом году прославился арабский хакер Халил Шритех, который обнаружил уязвимость в Facebook, продемонстрировав её взломом страницы Марка Цукерберга.

Правда, Facebook отказала Шритеху в выплате 10 тысяч долларов, так как в условиях программы поощрения "белых хакеров" сказано, что для проверки уязвимости нужно использовать тестовые аккаунты, а не реальные страницы других пользователей без их разрешения. Но коллеги талантливого умельца решили поддержать и организовали краудфандинговую кампанию по сбору указанной суммы — в результате удалось собрать более 13 тысяч долларов.