Компания Facebook решила удвоить вознаграждение за найденные уязвимости, связанные с кодом, который управляет ее рекламной системой. Об этом было объявлено 15 октября 2014 года. Согласно правилам программы выплаты вознаграждений, минимальный размер выплаты составлял 500 долларов, но до конца текущего года сумма будет равна 1000 долларов.
Инженер отдела безопасности Facebook Коллин Грин сообщил, что код, управляющий рекламными приложениями, недавно был тщательно проверен на предмет безопасности, однако Facebook рассчитывает на дополнительные усилия "белых хакеров" по поиску пропущенных недоработок, передает SecurityLab.
Инструменты по рекламе в Facebook включают в себя менеджер рекламы, рекламный API и систему сбора и обработки статистики в реальном времени Analytics, известную также под названием Insights. Кроме того, компания просит обратить внимание на код сервера системы биллинга. Существует множество кодов серверов, позволяющих корректно собирать информацию об использовании рекламных услуг, рассчитывать их стоимость и выставлять счета. К этим кодам нет прямого доступа через web-сайты, однако вследствие некоторых недоработок они остаются довольно уязвимыми, пишет Грин.
Эксперт также сообщил, что Facebook обычно выявляет такие бреши, как ошибки аутентификации, межсайтовую подделку запроса (CSRF), недостаточное ограничение траффика, а также уязвимости во Flash-плейере.
Напомним, в прошлом году прославился арабский хакер Халил Шритех, который обнаружил уязвимость в Facebook, продемонстрировав ее взломом страницы Марка Цукерберга. Правда, Facebook отказала Шритеху в выплате 10 тысяч долларов, так как в условиях программы поощрения "белых хакеров" сказано, что для проверки уязвимости нужно использовать тестовые аккаунты, а не реальные страницы других пользователей без их разрешения. Но коллеги талантливого умельца решили поддержать Шритеха и организовали краудфандинговую кампанию по сбору указанной суммы - в итоге удалось собрать более 13 тысяч долларов.