Facebook 提高对账户接管漏洞的奖励

编译：360代码卫士团队

周二，Facebook 公司宣布对漏洞奖励计划实施重大更新。Facebook 公司表示，将为发现账户控制漏洞的研究人员颁发4万美元的奖励。

Facebook 公司表示，如果研究人员能够报告无需要求任何用户交互的账户劫持漏洞，那么就能获得4万美元的奖励；而如果只需最少的用户交互实施利用，则获得2.5万美元的奖励。

这项奖励计划适用于 Facebook 以及该公司所拥有的其它服务，包括 Instagram、WhatsApp和 Oculus。

Facebook 公司表示，“通过增加对账户控制漏洞的奖励以及降低有资格获得漏洞奖励的人员的技术开销，我们希望鼓励现有的以及更多的白帽研究人员提交更多的高质量报告，帮助我们更好地为20亿用户服务。”

漏洞奖励计划更新是在最近发生影响约2900万名用户的数据泄露事件后开展的。

今年9月份，Facebook 公司披露称，黑客利用了“View As”功能中存在的漏洞窃取了能够劫持账户并获得对使用 Facebook 登录凭证访问第三方 app 的访问令牌。

该攻击无需任何用户交互，涉及利用多个漏洞，其中一个漏洞和 Facebook 公司在2017年7月推出的视频上传器界面相关。

就在这起数据泄露事件被披露的几天前，Facebook 公司宣布称已扩展漏洞奖励计划，如研究人员能发现涉及暴露用户访问令牌的漏洞则也可获得奖励。

今年，Facebook 公司遭受多起隐私丑闻。最大的一起事件莫过于剑桥分析公司丑闻，数千万用户的详情遭窃取。Facebook 公司还证实称1400万名用户遭可导致私密帖子公开的漏洞的影响。

不止如此，Facebook 公司旗下的 Instagram 公司上周告知用户称，他们的密码可能因使用“下载你的数据”工具而遭泄露。

原文链接

https://www.securityweek.com/facebook-increases-rewards-account-hacking-vulnerabilities