繼今年漏洞挖掘的豐碩成果后����,Meta旗下臉書(Facebook)部門上周宣布更新漏洞獎勵計劃支付指引,重點加強(qiáng)包括行動遠(yuǎn)程程序代碼執(zhí)行(mobile RCE)�����、賬號接管��、2FA繞過���,以及VR產(chǎn)品漏洞的檢查��,其中RCE最高可拿30萬獎金���。
繼今年漏洞挖掘的豐碩成果后�����,Meta旗下臉書(Facebook)部門上周宣布更新漏洞獎勵計劃支付指引���,重點加強(qiáng)包括行動遠(yuǎn)程程序代碼執(zhí)行(mobile RCE)、賬號接管����、2FA繞過,以及VR產(chǎn)品漏洞的檢查����,其中RCE最高可拿30萬獎金。
臉書表示��,自2011年以來�����,該公司收到外部研究人員17萬次漏洞通報��,使其發(fā)出8,500多次獎勵����,金額達(dá)1,600多萬美元����。單是在今(2022)年����,該公司也收到了約1萬次通報���,使他們發(fā)出750多次獎金�����,總金額超過200萬美元��。以獲獎金金額的研究人員國籍區(qū)分����,則以印度�����、尼泊爾及突尼斯居最高��。
在今年的漏洞挖掘獎勵方案下,臉書也更新支付指引�����,以著重特定類別漏洞��。包括更新行動遠(yuǎn)程程序代碼執(zhí)行(RCE)漏洞的支付指引�����,并增加賬號接管(account takeover���,ATO)及雙重驗證(2FA)繞過漏洞��。其中�����,行動RCE漏洞獎金高達(dá)30萬美元�����,而ATO獎金也增至13萬美元��。
臉書表示���,支付指引是為特定漏洞類別設(shè)置平均最高支付水準(zhǔn)����,并說明臉書評審漏洞獎金的條件����。但該公司強(qiáng)調(diào)每件漏洞通報都是依個案審核����,也可能有些漏洞能獲得高于設(shè)置的獎金上限。
例如����,今年臉書針對一個電話號碼賬號回復(fù)流程中,可能導(dǎo)致攻擊者重設(shè)密碼���,并接管賬號的賬號接管漏洞���,發(fā)出16.3萬美元獎金。由于發(fā)現(xiàn)漏洞的一名印度研究人員還可將本漏洞串聯(lián)另一個2FA漏洞���,又獲得臉書2.5萬美元獎金���。
而在2FA繞過漏洞中��,今年臉書針對一名尼泊爾研究人員通報的限流問題�����,可讓攻擊者暴力破解證實用戶手機(jī)號碼的驗證碼����,繞過SMS 2FA保護(hù)�����,發(fā)出2.7萬美元����。
為了推動元宇宙愿景的實現(xiàn),臉書上周也宣布更新獎勵條款��,加入VR技術(shù)的支付指引���,把Meta的虛擬現(xiàn)實(VR)及混合實境(MR)設(shè)備產(chǎn)品包括Meta Quest Pro和Meta Quest Touch Pro控制器的漏洞列入獎勵行列����。
事實上,今年臉書已經(jīng)開始重點獎勵Quest設(shè)備的漏洞通報�����。例如一名Youssef Sammouda通報Meta Quest的oAuth流程漏洞���,后者可能導(dǎo)致攻擊者2次點擊就接管了用戶賬號���。為此他獲頒高達(dá)4.4萬美元的獎金。
閩公網(wǎng)安備 35010202001226號
