Den nylige Cambridge Analytica-skandalen rystet Facebook og fikk selskapet til å undersøke nærmere hvor massene av brukerdata havner og hvordan de blir brukt.
Som en del av innsatsen kunngjorde den sosiale nettverksgiganten denne uken at den utvider sitt bug bounty-program til å omfatte tredjepartsapper og nettsteder som lar folk bruke Facebook-kontoene sine til å logge på.
Selskapet sier at det fokuserer på tilgangstokenene som genereres unikt for den spesifikke brukeren og appen under pålogging.
"Brukeren bestemmer hvilken informasjon tokenet og appen kan få tilgang til, samt hvilke handlinger som kan utføres ... [men] et token kan potensielt misbrukes," forklarte Dan Gurfinkel, Facebooks sikkerhetstekniske leder, i et innlegg som kunngjorde det utvidede programmet.
Gurfinkel sa at det vil betale minst $ 500 til alle som oppdager sårbarheter som involverer "upassende eksponering av Facebook-brukeradgangstokener." Jo mer alvorlig problemet er, desto større beløp vil Facebook betale, selv om det ikke nevnes noe tak.
Han la til at Facebook bruker programmet i et forsøk på å skape en klar kanal for folk å rapportere om eventuelle problemer de kommer over, “og vi vil gjøre vårt for å beskytte folks informasjon, selv om kilden til en feil ikke er i vår direkte kontroll. ”
Når et problem er bekreftet av Facebooks egne forskere, vil det kontakte appen eller nettstedsutvikleren for å hjelpe dem med å fikse koden, og de blir suspendert fra plattformen til problemet er løst.
"Vi vil også automatisk tilbakekalle tilgangstokener som kan ha blitt kompromittert for å forhindre potensielt misbruk, og varsle dem vi tror er berørt," sa Gurfinkel.
Sikkerhetsingeniørsjefen påpekte at Facebook bare vil godta rapporter "hvis feilen oppdages ved passivt å se på dataene som sendes til eller fra enheten din mens du bruker den sårbare appen eller nettstedet." Med andre ord har forskere ikke lov til å "manipulere forespørsler sendt til appen eller nettstedet fra enheten din, eller på annen måte forstyrre den vanlige funksjonen til appen eller nettstedet i forbindelse med å sende inn rapporten."
Hvis det rapporteres om en feil av to personer som arbeider uavhengig av hverandre, går betalingen til personen som leverer rapporten først. Og hvis forskeren føler seg raus og ønsker å donere belønningen til veldedighet, vil Facebook doble verdien av donasjonen.
Utvidelsen av bug bugounty-programmet kommer fire måneder etter at Facebook lanserte Data Abuse Bounty-programmet, en annen konsekvens av den skadelige Cambridge Analytica-skandalen der en tredjepartsapp bidro til å høste dataene på opptil 87 millioner Facebook-brukere for politisk gevinst, som førte til store spørsmål om måten det sosiale nettverksselskapet håndterte brukerdata på.
Data Abuse Bounty-programmet belønner brukere som oppdager og rapporterer apper eller tjenester tilknyttet Facebook som misbruker data, spesielt der ”en Facebook-plattform-app samler inn og overfører folks data til en annen part for å bli solgt, stjålet eller brukt til svindel eller politisk innflytelse, ”sa selskapet.
Facebook beskrev sitt Data Abuse Bounty-program som en bransje først.
