Facebook будет платить за найденные баги по $500

    Facebook присоединился к числу компаний, которые платят за найденные дыры в своих продуктах. Минимальная оплата за уязвимости на сайте Facebook составит $500 (XSS, CSRF/XSRF, инжекты), но за специфичные баги она может быть увеличена. Подробная информация находится на странице Whitehat hacking portal, там же страничка для отправки сообщения.

    Специалисты из отдела безопасности Facebook говорят, что сейчас хакеры-белошляпочники обращаются к ним с репортами 30-50 раз в неделю, что позволяет выявить один-три бага. Новая программа позволит установить более тесные и дружеские отношения с хакерским сообществом. Facebook уже два года проводит для них богатые вечеринки на конференции Defcon.

    В настоящее время из всех интернет-компаний награду за найденные баги предлагают Google и Mozilla. Google платит от $500 до $3133,7 за баги в браузере Chromium, а также во всех веб-сервисах: *.google.com, *.youtube.com, *.blogger.com, *.orkut.com. За полтора года действия программы выплачено уже около $300 000. Компания Mozilla платит от $500 до $3000 за уязвимости в Firefox, Thunderbird и Firefox Mobile (в том числе в бета-версиях и релиз-кандидатах). Как показывает опыт, российские разработчики являются активными участниками этих программ.
    Поделиться публикацией

    Похожие публикации

    Комментарии 21
    • НЛО прилетело и опубликовало эту надпись здесь
        0
        Конечно же будут! Это же баг, но заметьте: это баг НЕ гугла/яши, а баг веб-разработчиков, да и то что собирается инфа со страниц при помощи тулбаров/метриксов/etc — тут уже баг пользователей. Читать почаще надо «пользовательские соглашения», чтобы знать с чем связываетесь.
        0
        Отличненько. Теперь только осталось найти пару багов. Всего лишь.
          +1
          Ну да. И так каждый месяц.
          +1
          По-моему, даже XSS-уязвимость для Вконтакте стоят 1000$ и выше. Я полагал, что эта мера будет препятствовать продаже уязвимостей заинтересованным людям. Но судя по прайс-листу, всего-лишь поощрялка для «белых хакеров».
            +1
            Фейсбук как-то странно откликается на уведомление о проколах в системе приватности и т.п. Писал я им несколько месяцев назад, до сих пор остался досадный баг на pages…
              +2
              Тоже самое, писал им несколько месяцев назад про их диры в платежной системе, ноль внимания. Хотя баг конкретный, могут потерять десятки тысяч, если не сотни, а реакции ноль.
                0
                Может плохо расписали. Вы бы PoC оформили и подробно всё расписали.
                Зато есть возможность делать это еще раз и получить за это деньги.
                  0
                  Напишите мне пожалуйста, я передам куда надо
                  0
                  Напишите мне пожалуйста, я передам куда надо
                  +1
                  Итого: Если взять эмпирическую з.п. в США в 90 тыс в год, то для Гугла затраты фактически равняются найму на работу одного человека. Достаточно эффективный способ тестировать свои продукты и платить копейки, хотя по большому счёту на чёрном рынке это можно было бы продать дороже (не всегда).
                    +1
                    Либо отправить пару полезных и устроиться к ним на работу. Помнится была уже такая история.
                    0
                    А различные очепятки считаются?
                      0
                      Думаю нет, скорее всего это уже к локализаторам, если вы про иноязычные версии
                      0
                      > хакеры-белошляпочники
                      Извините, а это что значит?
                        0
                        главное тут не опошлять…
                          0
                          У меня и в мыслях не было. Просто я не знаком с таким выражением. По контексту (вроде бы) это «хакеры с добрыми намерениями». Но что за белые шляпы? Видимо, слишком буквально переведённая английская идиома, но я такой ни разу не встречал пока.
                            0
                            Белыми шляпами называют обычно специалистов по инф. безопасности, которые работают на закрытие возможных дыр, а не их использование. Например, Кевин Митник сейчас один с них.
                        +1
                        Да ну… Я думаю что за малоизвестный xss и уж тем более «инжект» можно получить куда больше чем 500$.
                          0
                          зато другие пути не всегда легальны, так что это новая возможность для тех, кто не хочет играть с огнём
                        • НЛО прилетело и опубликовало эту надпись здесь

                          Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                          Самое читаемое