پرداخت ۴٫۳ میلیون‌دلاری فیس‌بوک از سال ۲۰۱۱ در برنامه‌های کشف آسیب‌پذیری

نوشته شده در تاریخ توسط

مهندس امنیت فیس‌بوک، رجینالدو سیلوا، می‌گوید که فیس‌بوک از سال ۲۰۱۱ مبلغ ۴٫۳ میلیون دلار (۳٫۸ میلیون پوند) برای گزارش بیش از ۲۴۰۰ آسیب‌پذیری ارائه‌شده در مورد حفره‌های آن در چارچوب طرح پاداش در برابر گزارش آسیب‌پذیری پرداخت کرده است.
این پرداخت‌های انجام‌شده در چارچوب یکی از شایع‌ترین برنامه‌های پاداش آسیب‌پذیری صورت گرفته است و ۸۰۰ پژوهش‌گر برای گزارش‌های خود در مورد آسیب‌پذیری‌های متنوعی از جمله تزریق کد (XSS)، جعل درخواست میان‌وب‌گاهی (CSRF) و حفره‌های منطقی این شرکت مبالغی را دریافت کرده‌اند.
سال گذشته فیس‌بوک نسبت به سال قبل از آن مبالغی کم‌تر معادل ۹۳۶ هزار دلار (۶۴۴۴۷۷ پوند) به ۲۱۰ پژوهش‌گر که ۵۲۶ حفره را گزارش کرده بودند، پرداخت کرده بود.
متوسط پرداخت برای حفره‌ها برابر ۱۷۸۰ دلار (۱۲۲۵ پوند) بوده است. هند همچون سال قبل از آن در بالاترین جایگاه قرار داشته است، اما مصر و ترینیداد و توباگو، آمریکا و انگلستان را در ارائه‌ی بیشترین گزارش‌ها و دریافت بالاترین مبالغ جا گذاشتند.
سیلویا می‌گوید ابزارها و چارچوب‌ها، حفره‌های نرم‌افزاری ساده‌ی وب را به راحتی از بین می‌برند، در نتیجه نفوذگران باید آسیب‌پذیری‌های منطقی تجاری را پیدا کرده و گزارش دهند.
او می‌گوید: «همچنان‌که برنامه‌نویس‌ها بالغ‌تر می‌شوند، حفره‌های امنیتی قدیمی نظیر XSS و CSRF نیز سخت‌تر یافت می‌شوند، و در نتیجه بسیاری از شرکت‌کنندگان در طرح‌های ما تحقیقات خود را بر روی منطق تجاری ما متمرکز می‌کنند.»
«همچنان‌که فیس‌بوک رشد می‌کند، ما نیز در حفاظت از حفره‌های امنیتی قدیمی خود در مراحل اولیه بهتر عمل می‌کنیم و در این راه از ابزارها و چارچوب‌هایی نظیر XHP و React استفاده می‌کنیم.»
«کیفیت گزارش‌هایی که ما دریافت می‌کنیم به مرور زمان بهتر می‌شوند، هم از نظر دستورات مرحله به مرحله‌ای که موجب ایجاد ایرادها می‌شوند و هم از نظر ملاحظات خطرات احتمالی که افراد را در فیس‌بوک تهدید می‌کنند.»
سیلویا می‌گوید که حفره‌های منطقی به فیس‌بوک کمک می‌کنند که قواعدی را برای کدهای خود تنظیم و به کار برد تا همه‌ی آسیب‌پذیری‌های مشابه را از بین ببرد. تمرکز بر گزارش‌های کیفیت بالا و نقص‌های منطقی تجاری برای محققان امنیتی نیز برای از بین بردن آسیب‌پذیری‌ها، ساده‌تر است.
فیس‌بوک حدود ۸۶۰ هزار دلار (۵۹۲ هزار پوند) به طور متوسط در سال می‌پردازد و در مقایسه با آن گوگل به طور میانگین ۱٫۲ میلیون دلار (۸۲۶ هزار پوند) را از سال ۲۰۱۰ در این برنامه پرداخت کرده است.
شرکت گوگل بیش از دو میلیون دلار (۱٫۴ میلیون پوند) در ۱۲ ماه گذشته برای دریافت گزارش از ۷۵۰ حفره پرداخت کرده است، و در این مدت برنامه‌های خود را طوری گسترش داده است که حفره‌های اندروید نیز شامل این برنامه پرداخت شوند.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.