O Facebook está expandindo seu programa de recompensas de bugs, o bug bounty, para incluir vulnerabilidades em aplicativos de terceiros e sites que envolvem exposição indevida do tokens de acesso de usuários do Face. Quem descobrir um desses bugs ganha um prêmio de no mínimo 500 dólares ou cerca de R$ 2.000.
Esse acesso é típico de aplicativos ou sites que ao invés de pedirem cadastramento oferecem a opção “Entrar com Facebook”. Por isso. o Facebook está pedindo aos caçadores de bugs que incluam uma prova de conceito demonstrando a vulnerabilidade informada. O engenheiro de segurança Dan Gurfinkel avisa que só serão aceitos relatórios se o bug for descoberto visualizando passivamente os dados enviados para ou de um dispositivo – enquanto estiver usando o aplicativo vulnerável.
“Não é permitido manipular qualquer solicitação enviada para o aplicativo ou website a partir do seu dispositivo, e também não vale interferir de alguma forma no funcionamento normal do aplicativo ou do site em conexão com o envio do seu relatório. Por exemplo, SQLI, XSS, redirecionamento aberto ou vulnerabilidades de desvio de permissão (como IDOR) estão estritamente fora do jogo”, ressaltou.
Nos termos de serviço do bug bounty, a empresa também observa que o caçador de bugs não deve acessar dados ou usar qualquer token de acesso de outra conta do Facebook que não seja sua, e que apenas aplicativos de terceiros com pelo menos 50.000 usuários ativos estão dentro do escopo. A empresa não colocou um limite máximo para o valor da recompensa que pode ser distribuída pelos relatórios sobre esses bugs.
Assim que a existência de um vazamento de token de acesso for confirmada, o Facebook entrará em contato com o desenvolvedor do website ou app para que ele faça a correção imediatamente.
“Os aplicativos que não estiverem em conformidade com nossa solicitação serão suspensos da nossa plataforma até que o problema seja resolvido e uma revisão de segurança tenha sido realizada. Também revogaremos automaticamente os tokens de acesso que poderiam ter sido comprometidos para evitar um possível uso indevido e alertar aqueles que acreditamos ser afetados”, acrescentou Gurfinkel.
As regras estão em https://www.facebook.com/whitehat/info/
