Facebook Menawarkan Hadiah Tunai Sebagai Bagian dari Program Bug Bounty yang Diperluas

Skandal Cambridge Analytica baru-baru ini mengguncang Facebook, mendorong perusahaan untuk memeriksa lebih dekat di mana data penggunanya berakhir dan bagaimana penggunaannya.

Sebagai bagian dari upaya itu, raksasa jejaring sosial minggu ini mengumumkan akan memperluas program bug bountynya untuk memasukkan aplikasi dan situs web pihak ketiga yang memungkinkan orang menggunakan akun Facebook mereka untuk masuk.

Perusahaan mengatakan itu berfokus pada token akses yang dibuat secara unik untuk pengguna dan aplikasi tertentu selama login.

“Pengguna memutuskan informasi apa yang dapat diakses token dan aplikasi serta tindakan apa yang dapat diambil… [tetapi] token berpotensi dapat disalahgunakan,” Dan Gurfinkel, manajer teknik keamanan Facebook, menjelaskan dalam sebuah posting yang mengumumkan program yang diperluas.

Gurfinkel mengatakan akan membayar setidaknya $ 500 kepada siapa pun yang melihat kerentanan yang melibatkan "eksposur yang tidak tepat dari token akses pengguna Facebook." Semakin serius masalahnya, semakin besar jumlah yang akan dibayar Facebook, meski tidak menyebutkan batasan.

Dia menambahkan bahwa Facebook menggunakan program ini dalam upaya untuk membuat saluran yang jelas bagi orang-orang untuk melaporkan masalah apa pun yang mereka temui, "dan kami ingin melakukan bagian kami untuk melindungi informasi orang, bahkan jika sumber bug tidak ada di kami. kontrol langsung. "

Setelah masalah dikonfirmasi oleh peneliti Facebook sendiri, itu akan menghubungi pengembang aplikasi atau situs web untuk membantu mereka memperbaiki kodenya, dan mereka akan ditangguhkan dari platform sampai masalah tersebut diselesaikan.

"Kami juga akan secara otomatis mencabut token akses yang mungkin telah disusupi untuk mencegah potensi penyalahgunaan, dan memperingatkan mereka yang kami yakini terpengaruh," kata Gurfinkel.

Manajer teknik keamanan menunjukkan bahwa Facebook hanya akan menerima laporan "jika bug ditemukan dengan secara pasif melihat data yang dikirim ke atau dari perangkat Anda saat menggunakan aplikasi atau situs web yang rentan." Dengan kata lain, peneliti tidak diizinkan untuk “memanipulasi permintaan apa pun yang dikirim ke aplikasi atau situs web dari perangkat Anda, atau mengganggu fungsi biasa aplikasi atau situs web sehubungan dengan pengiriman laporan Anda.”

Jika kesalahan dilaporkan oleh dua orang yang bekerja secara independen, pembayaran diberikan kepada orang yang mengirimkan laporan terlebih dahulu. Dan jika peneliti merasa murah hati dan ingin menyumbangkan bounty untuk amal, Facebook akan menggandakan nilai donasi.

Perluasan program bug bountynya terjadi empat bulan setelah Facebook meluncurkan Program Bounty Penyalahgunaan Data, konsekuensi lain dari skandal Cambridge Analytica yang merusak di mana aplikasi pihak ketiga membantu memanen data hingga 87 juta pengguna Facebook untuk kepentingan politik, yang menimbulkan pertanyaan besar tentang cara perusahaan jejaring sosial menangani data pengguna.

Program Bounty Penyalahgunaan Data memberi penghargaan kepada pengguna yang menemukan dan melaporkan aplikasi atau layanan apa pun yang terhubung ke Facebook yang menyalahgunakan data, khususnya, di mana "aplikasi platform Facebook mengumpulkan dan mentransfer data orang ke pihak lain untuk dijual, dicuri, atau digunakan untuk penipuan atau politik. pengaruh, ”kata perusahaan itu.

Facebook menggambarkan Program Bounty Penyalahgunaan Data sebagai industri yang pertama.