Facebook pode pagar 500 dólares quem encontra bug

Mark Zuckerberg

Vuneralidade nas Rede Sociais

Isto não é nenhum novidade que alguns empresas da web oferecem recompensas a profissionais e pessoas que trabalha com segurança da informação que encontra falha no sistema de segurança e vuneralidade em suas plataformas.

O antigo Orkut fazia isto, o Google Chorme faz muito isto, com os caçadores de bug do chrome, Youtube, Mozilla faz isso com a Firefox.

O Facebook faz isto ha muito tempo, mais poucas pessoas sabia disso.

A rede social de Mark Zuckerberg fez um anuncio que vai recompensar com ao menos, U$$ 500 todos aqueles que descobrirem alguma falha ou bug na segurança no Facebook. E de acordo com problema e seriedade este valor pode duplica e muito.

Mas para ter direito a recompensa a pessoa que encontrou esta falha dever seguir os termos de divulgação responsavel do facebook.

Veja detalhes aqui.

facebook-vulnerabilidade

 

(Last updated 7 June 2017)
Caso acredite ter encontrado uma vulnerabilidade de segurança no Facebook (ou outro membro da família de empresas do Facebook), incentivamos você a falar conosco imediatamente. Examinaremos todas as denúncias legítimas e faremos o que estiver ao nosso alcance para corrigir os problemas com rapidez. No entanto, antes de fazer sua denúncia, analise esta página e nossa Política de Divulgação Responsável, diretrizes de recompensa e todas as coisas que não devem ser denunciadas.
Se você quiser denunciar outro tipo de problema, use os links abaixo para obter assistência.

Política de Divulgação Responsável

Se você estiver em conformidade com as políticas abaixo ao denunciar um problema de segurança para o Facebook, nós não daremos entrada em um processo ou faremos uma investigação policial contra você por ter feito a denúncia. Nós solicitamos que:

  • Você nos dê um tempo razoável para investigar e analisar o problema relatado antes de tornar pública qualquer informação sobre a denúncia ou de compartilhar a informação com outras pessoas.
  • Você não interaja com uma conta individual (isso inclui modificar ou acessar dados da conta), caso não tenha o consentimento do proprietário da conta para executar tal ação.
  • Você faça esforços, em boa fé, para evitar quebras e violações de privacidade relacionadas a outras pessoas, incluindo (mas não limitado a) destruição de dados e interrupção ou degradação dos nossos serviços.
  • Você não explore o problema de segurança que descobriu por nenhum motivo. (Isso inclui demonstrar riscos adicionais, como a tentativa de comprometer a confidencialidade dos dados da empresa ou procurar problemas adicionais.)
  • Você não infrinja nenhuma outra lei ou regulamentação.

Equipe do programa Bug Bounty

Nós reconhecemos e recompensamos pesquisadores de segurança que nos ajudam a manter as pessoas seguras ao relatar vulnerabilidades nos nossos serviços. Gratificações monetárias estão inteiramente a critério do Facebook, baseadas em risco, impacto e outros fatores. Para se qualificar para uma gratificação, você precisa atender aos requisitos a seguir:

  • Aderir à Política de Divulgação Responsável (ver acima).
  • Relate um erro de segurança: isso é, identificar a vulnerabilidade nos nossos serviços ou na infraestrutura o que cria um risco de segurança ou de privacidade. (Observe que é o Facebook quem determina o risco de um problema e quantos erros de software não são problemas de segurança.)
  • O seu relato deve descrever um problema envolvendo um dos produtos ou serviços listados dentro do “Foco do programa Bug Bounty” (veja abaixo).
  • Nós excluindo especificamente alguns tipos de problemas de segurança potenciais, eles estão listados em “Denúncias não elegíveis e falsos positivos” (veja abaixo).
  • Envie a sua denúncia através do nosso formulário “Denunciar uma vulnerabilidade na segurança” (um problema por denúncia) e responda para denunciar com atualizações. Não entre em contato com funcionários diretamente ou através de outros canais para falar sobre a denúncia.
  • Se você, inadvertidamente, casou uma violação ou quebra de privacidade (como acessar dados da conta, configurações de serviço ou outras informações confidenciais) quando estava investigando um problema, não se esqueça de informar isso na sua denúncia.
  • Use contas de teste quando estiver investigando problemas. Se você não conseguir reproduzir um problema com uma conta teste, é possível usar uma conta real (exceto para teste automatizado). Não interaja com outras contas sem consentimento (por exemplo, não teste a conta do Mark Zuckerberg).
Por sua vez, vamos seguir estas diretrizes ao avaliar denúncias dentro do nosso programa bug bounty:

  • Nós investigamos e respondemos todas as denúncias válidas. Devido ao volume de denúncias que recebemos, nós damos prioridade para avaliações com base em risco e outros fatores, portanto pode demorar um pouco para você ser respondido.
  • Nós determinamos as quantias das gratificações tendo como base vários fatores, incluindo (mas não limitado a) impacto, facilidade de exploração e qualidade da denúncia. Se pagarmos uma gratificação, o valor mínimo é de US$ 500. Observe que problemas de baixo risco extremo podem não qualificar uma gratificação.
  • Procuramos pagar quantias similares para problemas similares, mas os valores das gratificações e a qualificação dos problemas pode mudar com o tempo. Recompensas passadas não garantem necessariamente resultados similares no futuro.
  • No caso de denúncias duplicadas, nós damos a gratificação para a primeira pessoa que enviar um problema. (O Facebook determina as denúncias duplicadas e pode não compartilhar detalhes nas outras denúncias) Uma gratificação é paga apenas para uma pessoa.
  • Você pode doar a gratificação para uma instituição de caridade (sujeito à aprovação pelo Facebook), Nesse caso, nós dobramos o valor da gratificação.
  • Reservamo-nos o direito de publicar as denúncias (e as atualizações que as acompanham).
  • Nós publicamos uma lista de pesquisadores que enviaram denúncias válidas de segurança. Você deve receber uma gratificação para fazer parte dessa lista, mas a sua participação é opcional. Nós reservamos o direito de limitar ou modificar a informação que acompanha o seu nome na lista.
  • Nós verificamos que todas as gratificações são permitidas pela lei, incluindo (mas não limitado a) sanções comerciais e restrições econômicas dos EUA.
Observe que o uso dos serviços do Facebook e da família de empresas do Facebook, inclusive para fins desse programa, está sujeito aos Termos e Políticas do Facebook e aos termos e políticas de qualquer outro membro da família de empresas do Facebook do qual você use os serviços. Nós (e qualquer membro da família de empresas do Facebook que seja o assunto do seu relatório) podemos reter comunicações sobre problemas de segurança reportados durante o tempo que considerarmos necessários para o programa e podemos cancelar ou modificar o programa a qualquer momento.

Foco do programa Bug Bounty

Para se qualificar para uma gratificação, denuncie um problema de segurança no Facebook ou em um dos produtos ou aquisições a seguir:

  • Atlas
  • Instagram
  • Internet.org / Free Basics
  • Moves
  • Oculus
  • Onavo
  • Projetos de código aberto pelo Facebook (por exemplo, osquery)
  • WhatsApp
Observe que os serviços que não são propriedade do Facebook (por exemplo, WordPress VIP e Page.ly) não são qualificados para participar do nosso programa bug bounty. Apesar de nos preocuparmos sempre com as vulnerabilidades que afetam os serviços que usamos, não podemos garantir ou divulgar as políticas que se aplicam a serviços de outras empresas.
facebook

fonte: Acesse para verifica as regras completa https://www.facebook.com/whitehat/

Você pode gostar...

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *