Facebook paga a hackers y personas para descubrir vulnerabilidades


La que a día de hoy es la red social más grande de Internet, se ha aliado con los hackers, quienes pueden salir beneficiado con 500 dólares, por cada fallo que encuentren en las aplicaciones y páginas web de Facebook.

Se trata de un programa de recompensas en el que los expertos en vulnerabilidades han de registrarse, y más tarde informar directamente al equipo de seguridad de la corporación.

Si logran encontrar una vulnerabilidad de seguridad en Facebook, la red social les recompensará. Según los responsables del programa, las indemnizaciones finales se otorgan, en función del riesgo, el impacto y otros factores.

Para poder optar a una recompensa, en primer lugar, debes cumplir los siguientes requisitos:

  • Cumplir nuestra Política de divulgación responsable (disponible más arriba).
  • Informar de un fallo de seguridad, es decir, identificar una vulnerabilidad en nuestros servicios o nuestra infraestructura que implique un riesgo para la seguridad o la privacidad. Ten en cuenta que es Facebook quien determina en última instancia el riesgo que supone un problema y que muchos fallos de software no constituyen problemas de seguridad.
  • El informe debe describir un problema que afecte a uno de los productos o servicios incluidos en “Ámbito del programa Bug Bounty” (ver a continuación).
  • Excluimos de manera específica determinados tipos de problemas de seguridad potenciales. Los encontrarás en “Informes no válidos y falsos positivos” (ver a continuación).
  • Envía el informe a través del formulario «Informar de una vulnerabilidad de seguridad» (un problema por informe) y responde a él con cualquier actualización que tengas. No te pongas en contacto con los empleados directamente o a través de otros canales para tratar temas relativos a un informe.
  • Si, de manera involuntaria, causas una infracción de la privacidad o una alteración del servicio (por ejemplo, accedes a datos de cuentas, configuraciones de servicios u otro tipo de información confidencial) mientras investigas un problema, asegúrate de incluirla en el informe.
  • Utiliza cuentas de prueba para investigar los problemas. Si no puedes reproducir un problema con una cuenta de prueba, puedes usar una real (excepto para las pruebas automatizadas). No interactúes con otras cuentas sin consentimiento del propietario (por ejemplo, no realices pruebas con la cuenta de Mark Zuckerberg).

A su vez, nosotros seguiremos estas normas al evaluar los informes recibidos en el marco del programa Bug Bounty:

  • Investigamos todos los informes válidos y respondemos a ellos. No obstante, debido al elevado volumen de informes que recibimos, establecemos prioridades para la evaluación en función del riesgo y otros factores, y puede pasar un tiempo hasta que recibas una respuesta.
  • Determinamos los importes de las recompensas basándonos en diversos factores, incluidos, entre otros, el impacto, la facilidad de explotación y la calidad del informe. En caso de que decidamos pagar una recompensa, el importe mínimo es de 500 USD. Ten en cuenta que puede que los problemas de riesgo extremadamente bajo no opten a ninguna recompensa.
  • Procuramos pagar importes similares para problemas parecidos, pero los importes de las recompensas y los problemas que se consideren que cumplen los requisitos para recibirlas pueden cambiar con el tiempo. Las recompensas anteriores no garantizan necesariamente resultados similares en el futuro.
  • En el caso de informes duplicados, daremos la recompensa a la primera persona que haya informado del problema. Facebook determina los duplicados y puede no compartir los detalles sobre las demás denuncias. La recompensa se paga a una sola persona.
  • Si quieres, puedes donar una recompensa a una organización benéfica reconocida (sujeto a la aprobación de Facebook). En este caso, duplicaremos los importes de las recompensas.
  • Nos reservamos el derecho de publicar los informes (y las actualizaciones de estos).
  • Publicamos una lista de investigadores que han enviado informes de seguridad válidos. Para poder aparecer en la lista es obligatorio haber recibido una recompensa, pero la participación en dicha lista es opcional. Nos reservamos el derecho de limitar o modificar la información que aparece junto a tu nombre en la lista.
  • Verificamos que todas las recompensas cumplan las leyes aplicables, incluidas, entre otras, las restricciones económicas y las sanciones comerciales de EE. UU.
Ocasionalmente, Facebook puede ofrecer promociones relacionadas con el programa Bug Bounty. Los informes que se envíen de conformidad con las presentes condiciones pueden estar sujetos a normas adicionales que rigen dichas promociones, tal como se describe en ellas. Estas normas están disponibles aquí, o lo estarán en el futuro, y se incorporan a las presentes condiciones mediante la siguiente referencia: https://www.facebook.com/whitehat/promotion/.
Ten en cuenta que el uso que haces de los servicios de Facebook y los de cualquier otra empresa perteneciente a Facebook, incluido el uso en el marco de este programa, está sujeto a las Condiciones y políticas de Facebook y las condiciones y políticas de cualquier otro miembro de la familia de empresas de Facebook de cuyos servicios hagas uso. Tanto Facebook como cualquier otro miembro de su familia de empresas objeto de tu informe pueden retener cualquier comunicación sobre los problemas de seguridad de los que informes durante el tiempo que consideren necesario para este programa, que, por su parte, se puede cancelar o modificar en cualquier momento.

Ámbito del programa Bug Bounty

Para poder optar a una recompensa, infórmanos sobre un fallo de seguridad en Facebook o uno de los siguientes productos o adquisiciones:

  • Instagram
  • Internet.org/Free Basics,
  • Oculus,
  • Onavo,
  • proyectos de código abierto de Facebook (por ejemplo, osquery),
  • WhatsApp.
Ten en cuenta que los servicios que no son propiedad de Facebook (como WordPress VIP y Page.ly) no cumplen los requisitos necesarios para participar en el programa Bug Bounty. Si bien nos preocupamos por las vulnerabilidades que afectan a los servicios que usamos, no podemos garantizar que nuestras políticas de divulgación se apliquen a servicios de otras empresas.
Asimismo, ten presente que, por lo general, las posibles vulnerabilidades en aplicaciones o sitios web de terceros que se integran con Facebook (incluidas la mayoría de las páginas de apps.facebook.com) no se incluyen en el ámbito de nuestro programa Bug Bounty. En este momento, la única excepción la constituyen los fallos de seguridad que hacen que los identificadores de acceso de los usuarios de Facebook queden expuestos ante entidades no autorizadas. Aceptaremos informes que tengan que ver con esta clase de vulnerabilidades, siempre y cuando los fallos se descubran al acceder de forma pasiva a los datos que se envían a tu dispositivo o se reciben de este mientras se usa la aplicación o el sitio web en cuestión. No puedes manipular ninguna solicitud que se envíe desde tu dispositivo a la aplicación o el sitio web, ni interferir de ningún otro modo en el funcionamiento normal de estos con relación al envío del informe. Por ejemplo, quedan fuera del ámbito del programa las vulnerabilidades relacionadas con SQLi, XSS, el redireccionamiento abierto y la omisión de permisos (como IDOR). Además, no puedes acceder a datos ni usar identificadores de acceso de ninguna cuenta de Facebook que no sea la tuya. Por último, solo las aplicaciones de terceros con un mínimo de 50 000 usuarios se incluyen en el ámbito del programa.
Shares
Share This

Share This

Share this post with your friends!