Acesso de alto desempenho para armazenamento de arquivos
Facebook não foi a primeira a oferecer os pesquisadores de segurança bênçãos para relatar vulnerabilidades -, mas a rede social relata que pagou US $ 1,5 milhão em 2013 para relatórios de bugs, e diz que está aumentando a quantidade de dinheiro em oferta no ano que vem.
De acordo com a gigante da publicidade, que recebeu 14.763 notificações de suspeitas de falhas no ano passado, um aumento de 246 por cento sobre o valor de 2012. Infelizmente para a equipe de segurança do Facebook, havia um monte de falsos positivos lá, e apenas 687 write-ups acabou por valer a pena pagar para - e, felizmente, cerca de seis por cento foram classificados como problemas de alta severidade.
"A maioria dos pedidos acabam não sendo questões válidas, mas vamos supor que eles são até que tenhamos avaliado na íntegra o relatório. Essa atitude faz com que seja possível para nós triagem questões de alta prioridade rapidamente e obter os recursos necessários alocados imediatamente", disse Collin Greene , um engenheiro de segurança do Facebook.
"Conseguimos ter o tempo médio para correção questões de alta gravidade para baixo para apenas 6 horas, e nós vamos continuar com foco em eficiência como o programa cresce. Nós também usamos a análise estática e outras ferramentas automatizadas para ajudar se for o caso evitar engenheiros de repetir os erros mais tarde. "
A maioria dos relatórios de bugs válidos foram arquivadas da Índia, mas eles pareciam ser de baixo valor - Facebook tem 136 falhas do subcontinente e paga uma média de $ 1.353 para cada um. Os russos ganharam a maioria no ano passado, com 38 inscrições ganham $ 3961 em média.
Quanto ao talento home-grown, os pesquisadores norte-americanos descobriram 92 corrigir falhas, com um dia de pagamento média de 2.272 dólares cada, enquanto o contingente britânico enviado em 40 erros válidos cada um no valor 2,95 mil dólares, em média. Maior pagamento do Facebook foi para pesquisador brasileiro Reginaldo Silva, que ganhou $ 33.500 para encontrar uma vulnerabilidade entidade externa XML dentro de uma página PHP.
Não são apenas falhas simples Facebook está pagando. Um pesquisador encontrou um mau pedaço de design de interface de usuário em sua ferramenta de administrador de página que poderia ter permitido que as pessoas a atribuir acidentalmente novos administradores a uma página em vez de bloqueá-los.
Facebook altera suas regras de recompensa para o próximo ano; impulsionar alguns pagamentos e adicionando Instagram, Parse, Atlas, e Onavo ao programa. Mas é também a remoção de falhas de injeção de texto a partir da lista de pagamento, argumentando que a renderização de texto extra em uma página não é uma questão de segurança por conta própria. ®
Nenhum comentário:
Postar um comentário