Facebook оценила хакеров

Хакеры заработали на Facebook первые $40 000. Социальная сеть платит за обнаружение “дыр”, которые могут грозить утечкой персональных данных. Ранее к рекламодателям утекли миллионы аутентификационных ключей к профилям пользователей Facebook.

Cоциальная сеть Facebook начала платить хакерам за выявление недостатков в работе сайта. Первые уязвимости, на которые указали сторонние программисты, администрация социальной сети оценила в $40 000.

В конце июля социальная сеть объявила о намерении установить денежные премии для частных специалистов, которые выявляют недостатки в работе сети. Деньги выплачиваются в том случае, если обнаруженные “дыры” могут “подвергнуть опасности персональные данные пользователей Facebook”.

Минимальное вознаграждение для хакеров установлено в размере $500.

Facebook часто критикуют за “дыры”, чреватые масштабными утечками личных данных пользователей социальной сети. “Машиной для шпионажа” назвал ее основатель Wikileaks Джулиан Ассанж. А сотрудники антивирусной компании Symantec Нишант Доши и Кандид Вест выяснили: в течение нескольких лет посторонние имели возможность не только просматривать, но и управлять данными профилей пользователей сети. Доступ к личным данным открылся через тэг IFRAME, с помощью которого загружаются приложения в Facebook. При установке приложений разработчики получали аутентификационные тоукены (ключи), которые содержались в ответной ссылке от Facebook. К рекламодателям утекли миллионы аутентификационных ключей к профилям пользователей социальной сети.

На фоне постоянной критики администрация сети утвердила “политику доброжелательности” к хакерам (их в компании называют “внешними экспертами в области безопасности”.

После утверждения этой программы один “независимый программист” получил более $7000 за выявление шести уязвимых мест, указано в блоге главы отдела безопасности соцсети Джо Салливана. Facebook также выплатила $5 тысяч за еще один “действительно хороший отчет”.

“Мы понимаем,… что во всем мире существует множество талантливых экспертов в области безопасности, а также тех, у кого могут быть благие намерения, но которые не работают на Facebook, — говорит Салливан. — Мы создали программу bug bounty (вознаграждение за обнаружение ошибок) в целях признания и поощрения этих людей за качественную работу, и призываем других присоединиться к нам”.

С момента запуска программы социальная сеть уже получила отчеты от программистов из 16 стран мира. Салливан уверяет, что новый подход Facebook оправдал себя.

“Мы с готовностью вступили в диалог о проблемах сети, чтобы услышать различные точки зрения, разных людей. В частности, благодаря этой программе мы сделали сайт более безопасным — выявляя проблемы, значительные и не очень, предоставляя панораму новых векторов атак”.

Недостатком нововведения стало то, что Facebook приходится иметь дело и с фальшивыми отчетами: их часто присылают программисты, ищущие известности, отметил Салливан.

Политика Facebook распространена среди технологических компаний. Корпорации Google и Mozilla вознаграждают сторонних программистов, которые обнаруживают уязвимости в своих системах. Hewlett-Packard также платит за предупреждения об угрозах бизнесу HP.

Анастасия МАТВЕЕВА