北京时间8月30日消息,据国外媒体报道,Facebook周一宣布,Facebook漏洞悬赏项目已经向漏洞发现者支付了逾4万美元的奖金。Facebook同时还公布了项目的实施细则。
Facebook首席安全官乔·苏利文(Joe Sullivan)在博客中表示:“在过去3周的时间里,Facebook
已经向全球安全专家支付了4万多美元。其中一位专家发现了6个不同问题,共获得7000多美元,另外一
位专家获得了5000美元。”
由此可看出,苏利文已经表明Facebook的漏洞悬赏金额远不止500美元。他表示:“由于漏洞报告
一般都很复杂,而且会牵涉到复杂的法律问题,我们宣布这项计划的措辞非常谨慎。”尽管存在一些混
乱,但Facebook想让安全专家知道:发现一个Facebook网站漏洞会有数千美元的奖金。
也就是说,苏利文认为Facebook必须防止一些希望成名的人报告虚假报告,以此保证报告的合法
性。
目前,漏洞悬赏项目仅适用于Facebook主站,内置第三方应用的Facebook Platform暂无悬赏计
划。
苏利文表示:“尽管我们同样关心Platform的安全性,但Platform牵涉到数万个独立互联网服务,
施行悬赏并不现实。我们拥有一个专门的Platform运营团队,他们与这些开发商保持着紧密地合作关
系,我们经常调整他们的安全和隐私措施。另外,我们还有一些检测工具,以协助人工检测。Facebook
用户都对我们的做法表示了肯定。”
苏利文认为,漏洞悬赏项目是一条鼓励安全研究社区的有效途径,并且可以更好地改进复杂技术环
境的安全状况。
一直以来,安全专家都担心披露网站安全漏洞会引起一些法律纠纷。但Facebook认为,公司已经与
数个第三方组织合作,确保Facebook的政策可以保护研究者的权益,明确Facebook的意图是与信息报告
者合作,而不是惩罚。
0
