O Facebook está investindo mais dinheiro em segurança e privacidade. Acontece que, nesta terça-feira (15), a empresa anunciou expandirá vários de seus programas de recompensas por bugs, incluindo pagamentos de bônus por vulnerabilidades raras. Com as novidades, os caçadores de recompensas poderão testar ativamente os aplicativos de terceiros quanto a problemas de segurança, desde que sejam autorizados.
"Essa mudança aumenta significativamente o escopo da pesquisa de segurança que nossa comunidade de recompensas por bugs pode compartilhar conosco e ser recompensada por encontrar vulnerabilidades em potencial nesses aplicativos e sites externos", explica Dan Gurfinkel, gerente de segurança de engenharia do Facebook.
As recompensas serão baseadas na gravidade do bug, com um pagamento mínimo de US$ 500 (ou seja, R$ 2.080, aproximadamente). Os pesquisadores precisarão comprovar que os aplicativos de terceiros autorizaram esses testes para receber as recompensas dos bugs encontrados. O Facebook anunciou pela primeira vez seu programa de recompensa de bugs para aplicativos de terceiros em setembro de 2018 e, enquanto a empresa tem sua própria equipe de segurança em busca de aplicativos para roubar dados, recompensas por bugs também permitem que a rede social abra a pesquisa para as massas. Em março de 2018, o Facebook expandiu seu programa de recompensas e começou a considerar os aplicativos que abusam de dados como falhas de segurança.
Pesquisadores que encontrarem e reportarem uma falha urgente no Facebook Messenger no iOS receberão a recompensa completa, além de um bônus de US$ 15 mil (R$ 62,4 mil). Além disso, o Facebook está oferecendo uma recompensa de US$ 60 mil (R$ 249 mil) por hacks bem-sucedidos do seu dispositivo Portal e US$ 40 mil (R$ 166 mil) por falhas de segurança no Oculus Quest.
Os programas de recompensas por bugs são uma tendência crescente em segurança cibernética, com empresas como a Apple oferecendo até US$ 1 milhão (R$ 4,16 milhões) para hacks de alto nível. Pesquisadores de segurança independentes pesquisam falhas que os invasores podem usar e são pagos para informar a empresa, em vez de usá-las para fins maliciosos.
Fonte: Canaltech; CNET.