Facebook bietet Cash Rewards als Teil des erweiterten Bug Bounty-Programms an

Der jüngste Skandal um Cambridge Analytica hat Facebook erschüttert und das Unternehmen dazu veranlasst, genauer zu untersuchen, wo die Masse der Benutzerdaten landet und wie sie genutzt werden.

Als Teil dieser Bemühungen kündigte der Social-Networking-Riese diese Woche an, sein Bug-Bounty-Programm um Apps und Websites von Drittanbietern zu erweitern, mit denen sich Benutzer über ihre Facebook-Konten anmelden können.

Das Unternehmen konzentriert sich nach eigenen Angaben auf die Zugriffstoken, die beim Anmelden für den jeweiligen Benutzer und die jeweilige App eindeutig generiert werden.

"Der Benutzer entscheidet, auf welche Informationen das Token und die App zugreifen können und welche Maßnahmen ergriffen werden können ... [aber] ein Token kann möglicherweise missbraucht werden", erklärte Dan Gurfinkel, Manager für Sicherheitstechnik bei Facebook, in einem Beitrag, in dem das erweiterte Programm angekündigt wurde.

Gurfinkel sagte, es werde mindestens 500 US-Dollar an jeden zahlen, der Schwachstellen entdeckt, die "eine unangemessene Offenlegung von Facebook-Benutzerzugriffstoken" beinhalten. Je schwerwiegender das Problem ist, desto höher ist der Betrag, den Facebook zahlen wird, obwohl keine Obergrenze erwähnt wird.

Er fügte hinzu, dass Facebook das Programm nutzt, um einen klaren Kanal für die Meldung von Problemen zu schaffen, auf die sie stoßen. „Wir möchten unseren Beitrag zum Schutz der Informationen der Nutzer leisten, auch wenn die Ursache eines Fehlers nicht in unserer liegt direkte Kontrolle."

Sobald ein Problem von Facebooks eigenen Forschern bestätigt wurde, wird es den App- oder Website-Entwickler kontaktieren, um ihnen bei der Behebung ihres Codes zu helfen, und sie werden von der Plattform suspendiert, bis das Problem behoben ist.

"Wir werden auch automatisch Zugriffstoken widerrufen, die kompromittiert worden sein könnten, um potenziellen Missbrauch zu verhindern, und diejenigen alarmieren, von denen wir glauben, dass sie betroffen sind", sagte Gurfinkel.

Der Security Engineering Manager wies darauf hin, dass Facebook nur Berichte akzeptiert, "wenn der Fehler durch passives Anzeigen der Daten entdeckt wird, die an oder von Ihrem Gerät gesendet werden, während die anfällige App oder Website verwendet wird." Mit anderen Worten, Forscher dürfen „keine von Ihrem Gerät an die App oder Website gesendeten Anfragen manipulieren oder auf andere Weise die normale Funktionsweise der App oder Website im Zusammenhang mit der Übermittlung Ihres Berichts beeinträchtigen“.

Wenn zwei unabhängig voneinander arbeitende Personen einen Fehler melden, geht die Zahlung an die Person, die den Bericht zuerst einreicht. Und wenn der Forscher sich großzügig fühlt und das Kopfgeld für wohltätige Zwecke spenden möchte, verdoppelt Facebook den Wert der Spende.

Die Erweiterung des Bug-Bounty-Programms erfolgt vier Monate nach dem Start des Data Abuse Bounty-Programms durch Facebook. Dies ist eine weitere Folge des schädlichen Skandals von Cambridge Analytica, bei dem eine Drittanbieter-App dazu beitrug, die Daten von bis zu 87 Millionen Facebook-Nutzern für politische Zwecke zu sammeln. Dies führte zu großen Fragen darüber, wie das Unternehmen für soziale Netzwerke mit Benutzerdaten umging.

Das Data Abuse Bounty-Programm belohnt Benutzer, die mit Facebook verbundene Apps oder Dienste entdecken und melden, die Daten missbrauchen, insbesondere wenn „eine Facebook-Plattform-App die Daten von Personen sammelt und an eine andere Partei überträgt, um sie zu verkaufen, zu stehlen oder für Betrug oder politische Zwecke zu verwenden Einfluss “, sagte das Unternehmen.

Facebook bezeichnete sein Data Abuse Bounty-Programm als Branchenneuheit.