______________________________________________________________________________________________________________

HackFix.ru - информационный портал,рассказывающий о событиях в области защиты информации,
взломах,инструментах аудита,программировании для пентестеров!

Facebook будет платить за информацию об утечках токенов доступа

Компания Facebook расширила программу вознаграждения за найденные уязвимости. Теперь соцсеть будет выплачивать награду за информацию о случаях утечек пользовательских токенов доступа через сторонние сервисы и приложения. Минимальная сумма вознаграждения составляет $500.

Токены доступа позволяют пользователям Facebook авторизоваться в других приложениях и генерируются индивидуально для каждого лица, запроса на доступ и приложения. Утечка информации может привести к различным атакам, например, перехвату сеанса и контроля над учетной записью, хищению данных или атаке типа «человек посередине».

Ранее программа вознаграждения Facebook не распространялась на уязвимости в сторонних сервисах, но сейчас компания пересмотрела подход, правда, с рядом условий. В частности, Facebook рассмотрит отчеты об уязвимостях только в том случае, если они были обнаружены в процессе «пассивного просмотра данных, отправляемых с и на устройство при использовании приложения или web-сайта». Исследователям не разрешается «манипулировать отправляемыми приложению или сайту запросами или любым другим образом вмешиваться в обычную работу приложения или сайта» в процессе анализа.

Кроме того, во внимание будут приниматься только отчеты об уязвимостях в приложениях с аудиторией, превышающей 50 тыс. активных пользователей. Тестирование должно осуществляться исключительно в собственной учетной записи исследователя, а в отчете необходимо предоставить PoC-код.

Обновленная программа не распространяется на уязвимости типа SQLi, XSS, Open Redirect и баги, позволяющие обход разрешений.

В случае, если разработчики уязвимых приложений или вебмастеры откажутся исправлять проблему, компания приостановит работу этих продуктов на платформе, пока уязвимость не будет устранена.

источник

Добавить комментарий

Ваш e-mail не будет опубликован.

______________________________________________________________________________________________________________
^ Наверх