Facebook 扩展第三方 app 漏洞奖励计划

Facebook扩大其漏洞奖励计划，旨在增强集成该平台的第三方 app 和网站的安全。

去年，Facebook启动“数据滥用奖励”计划，向任何报告有效的第三方应用收集 Facebook 用户数据并违反 Facebook 数据策略将其提供给恶意方的人员颁发奖励。

显然，多数时候Facebook 被滥用的用户数据首先是由第三方应用或服务的漏洞或弱点暴露的。

Facebook 生态系统包含数百万款应用，而且遗憾的是其中只有少数应用具有漏洞披露计划或向白帽子提供漏洞赏金。

鉴于研究人员和受影响应用开发人员之间存在的沟通差距，Facebook 此前针对第三方应用和网站的安全项目仅限于“被动发现的漏洞”。

尽管去年年末，Facebook再次扩大其第三方应用漏洞奖励计划，但仅针对暴露了 Facebook 用户访问令牌的有效的漏洞报告。

为了鼓励第三方应用的开发人员更加注重安全性并设置漏洞披露计划，Facebook 决定自掏腰包支付白帽黑客，即便应用开发者并不具备自己的漏洞奖励计划。

Facebook 表示，“尽管这些 bug 和我们自己的代码不相关，但我们想让研究人员能够报告可导致我们的用户数据可能遭滥用的问题。同时我们希望能够激励研究人员更多地关注应用、网站和漏洞奖励计划。我们奖励提交关于第三方应用和网站 bug 可能影响 Facebook 数据的报告的目的是鼓励安全社区和应用开发者之间能够开展更多的协作。”

换句话说，应用开发者可以借此设置自己的漏洞披露策略，帮助研究人员获得查找他们应用漏洞的合法性并从 Facebook 获得奖励。因为只有研究人员将从第三方开发者获得授权的证据之后，提交的第三方应用漏洞报告才符合 Facebook 漏洞奖励计划的要求。然而，如果第三方开发者已经设立了漏洞奖励计划，则研究人员可同时获得双方的奖励。

Facebook 颁发的奖金数额取决于所提交漏洞的潜在影响和严重程度，最低奖金是500美元。

为影响整个生态系统而设立的数据滥用和第三方应用的漏洞奖励计划正在成为网络安全行业的新趋势。最近，谷歌也扩大其 Play Store 漏洞奖励计划。如果研究人员能从下载量超过1亿次的任何安卓应用中找到 bug，则可获得奖励。不过，谷歌负责和应用开发者协作，而Facebook 提供了研究人员和第三方开发者直接合作的机会。