Facebook заплатил 33 500 долларов за ошибку безопасности, это самая большая награда за всю историю. Рекордное количество отражает способ устранения ошибки, а также ее потенциальную серьезность.
Программа Facebook Bug Bounty была запущена в 2011 году и, по ее собственным словам, обеспечивает признание и компенсацию исследователям безопасности, практикующим ответственное раскрытие информации.
В прошлом году Facebook привлек к себе поток негативной огласки, когда отказался выплатить вознаграждение исследователю безопасности, который разместил сообщение на личной странице Марка Цукерберга в Facebook, чтобы доказать наличие серьезной уязвимости в системе безопасности. Его подход был признан безответственным методом раскрытия информации.
Последняя выплата была сделана бразильскому инженеру по компьютерам Реджинальдо Силва за сообщение об уязвимости XML External Entity (XXE), связанной с OpenID, которая позволяла читать произвольные файлы. Он примечателен не только тем, что является крупнейшим на сегодняшний день Facebook — 35 000 долларов, побив предыдущий рекорд в 20 000 долларов, но и тем, что он используется для создания модели взаимодействия с командой безопасности Facebook.
Согласно сообщению на странице Bug Bounty в Facebook, отчет, представленный Сильвой, был хорошо написан и включал доказательство концептуального кода. Команде удалось реализовать однострочное исправление:
libxml_disable_entity_loader (правда)
это привело к тому, что библиотека синтаксического анализа XML запретила разрешение внешних сущностей.
На этом история могла бы закончиться, и в этом случае Сильва получил бы награду, но, возможно, не рекордную. Однако, впечатленный скоростью исправления, всего за три с половиной часа после своего первоначального отчета, Сильва знал, что уязвимость может привести к удаленному выполнению кода, и в ходе дальнейшего обсуждения с Facebook смог убедить их в своем статусе RCE. .
Если вы хотите узнать полную историю, прочтите подробный отчет Сильвы об ошибке, которую он первоначально обнаружил в Drupal, а затем на серверах Google, и предоставляет часть кода, который он использовал для демонстрации его потенциала RCE для Facebook.
Как поясняется в сообщении Facebook, размер вознаграждения отражает не только серьезность ошибки, но и то, как она была представлена — быстро и с достаточной детализацией, чтобы ее было легко воспроизвести в первую очередь, а затем обострился, чисто теоретически, в белой шляпе, в ходе совместной дискуссии с командой Facebook Bug Bounty.