Кампания по возмещению вреда Халилу Шрейту, исследователю безопасности, который разместил сообщение на личной странице Марка Цукерберга в Facebook, чтобы доказать наличие серьезной бреши в безопасности, превысила запланированную сумму в 10 000 долларов в течение дня. Что это говорит нам о системе вознаграждений?
У Facebook есть программа Bug Bounty в течение последних двух лет, и в последнем обновлении сообщается о выплате более 1 миллиона долларов 329 людям, некоторым профессиональным исследователям; другие являются студентами или внештатными сотрудниками из 51 страны. Минимальная награда составляет 500 долларов, а верхнего предела нет — самая крупная разовая награда до сих пор составляла 20000 долларов.
Так что же пошло не так в этом случае?
Почему Facebook отказался платить, несмотря на то, что ошибка — та, которая позволяла пользователям Facebook публиковать сообщения на временных шкалах (стенах) других пользователей Facebook, даже если они не были связаны как друзья, — была реальной, и Халил Шрейтех изначально отправил ее через программу Facebook Whitehat в установленном порядке?
Шрейта, имеющий степень бакалавра искусств. Имеет степень в области информационных систем, базируется в Палестине и описывает себя как «безработный», рассказал о том, что произошло в своем блоге, а также в этом видео:
В ответ на свое первое электронное письмо с сообщением об ошибке, включая ссылку, которую он разместил на стене Facebook с изображением Сары Годин, цели, выбранной, когда она попала в тот же коллаж, что и генеральный директор Facebook Марк Цукерберг, он получил ответ от службы безопасности Facebook. команда говорит:
«Когда я нажимаю ссылку, я ничего не вижу, кроме ошибки».
Итак, Шрайта попробовал второй раз, объяснил, почему ссылка выдает ошибку, и получил ответ:
Мне очень жаль, что это не ошибка.
Затем Штреат ответил, что у него нет выбора, кроме как опубликовать в хронологии Марка Цукерберга, и выполнил свою угрозу, опубликовав сообщение с извинениями:
«Во-первых, извините за нарушение вашей конфиденциальности и размещение поста на вашей стене, у меня (нет) другого выбора после всех отчетов, которые я отправил команде Facebook».
Это действие было действительно эффективным и привело не только к исправлению ошибки, но и к отключению его учетной записи Facebook, а после восстановления учетной записи появилось сообщение:
К сожалению, мы не можем заплатить вам за эту уязвимость, потому что ваши действия нарушили наши Условия использования. Однако мы надеемся, что вы продолжите работать с нами, чтобы найти уязвимости на сайте.
Вряд ли подходящий ответ, но тот, которого придерживается Facebook. В сообщении на странице безопасности Facebook начальник службы безопасности Джо Салливан заявил:
Мы не изменим нашу практику отказа в выплате вознаграждения исследователям, протестировавшим уязвимости на реальных пользователях. Никогда не приемлемо ставить под угрозу безопасность или конфиденциальность других людей. В этом случае исследователь мог бы отправить более подробный отчет (например, видео, которое он позже опубликовал), и он мог бы использовать один из наших тестовых аккаунтов для подтверждения ошибки.
Салливан признал, что вина были с обеих сторон:
Он попытался сообщить об ошибке ответственно, и нам не удалось с ним связаться. Мы получаем сотни заявок в день, и лишь крошечный процент из них оказывается законными ошибками. В результате мы были слишком поспешными и пренебрежительными в этом деле. Мы должны были объяснить этому исследователю, что его первоначальные сообщения нам не давали достаточно подробностей, чтобы мы могли воспроизвести проблему. Разбивка здесь была не из-за языкового барьера или отсутствия интереса — это было просто потому, что отсутствие деталей делало его похожим на еще один ошибочно направленный отчет пользователя.
Более того, в результате опыта Facebook вносит изменения, чтобы попытаться «четко сформулировать, что нам нужно для проверки ошибки».
Сообщество исследователей безопасности явно считает, что Facebook ведет себя неважно. В интервью CNN Марк Майффрет, технический директор охранной фирмы Beyond Trust, высказал свое мнение о том, что Шрите следует вознаградить, сказав:
«Он обнаружил серьезную уязвимость в Facebook, он попытался сообщить об этом ответственно, по-своему, и я думаю, что было бы правильным поддержать его и отправить хорошее сообщение. Так что такие люди, как он, продолжают сообщать об этом в Facebook всего мира, а не продают его за гораздо большие деньги в подполье ».
Именно Мейффрет запустил кампанию по сбору средств на GoFundMe, сделав первоначальное пожертвование в размере 2000 долларов, с идеей:
Давайте все отправим сообщение исследователям безопасности по всему миру и скажем, что мы ценим их усилия на благо всех.
Пожертвования все еще принимаются, и в настоящее время фонд собрал более 11 000 долларов, что, возможно, также отправит сообщение в Facebook.