繼今年漏洞挖掘的豐碩成果后���,Meta旗下臉書(Facebook)部門上周宣布更新漏洞獎(jiǎng)勵(lì)計(jì)劃支付指引�,重點(diǎn)加強(qiáng)包括行動(dòng)遠(yuǎn)程程序代碼執(zhí)行(mobile RCE)、賬號(hào)接管���、2FA繞過���,以及VR產(chǎn)品漏洞的檢查,其中RCE最高可拿30萬獎(jiǎng)金����。
繼今年漏洞挖掘的豐碩成果后����,Meta旗下臉書(Facebook)部門上周宣布更新漏洞獎(jiǎng)勵(lì)計(jì)劃支付指引�����,重點(diǎn)加強(qiáng)包括行動(dòng)遠(yuǎn)程程序代碼執(zhí)行(mobile RCE)�、賬號(hào)接管、2FA繞過�,以及VR產(chǎn)品漏洞的檢查,其中RCE最高可拿30萬獎(jiǎng)金���。
臉書表示����,自2011年以來���,該公司收到外部研究人員17萬次漏洞通報(bào),使其發(fā)出8,500多次獎(jiǎng)勵(lì)����,金額達(dá)1,600多萬美元。單是在今(2022)年�����,該公司也收到了約1萬次通報(bào),使他們發(fā)出750多次獎(jiǎng)金�����,總金額超過200萬美元�����。以獲獎(jiǎng)金金額的研究人員國籍區(qū)分�����,則以印度�、尼泊爾及突尼斯居最高。
在今年的漏洞挖掘獎(jiǎng)勵(lì)方案下�����,臉書也更新支付指引����,以著重特定類別漏洞。包括更新行動(dòng)遠(yuǎn)程程序代碼執(zhí)行(RCE)漏洞的支付指引�,并增加賬號(hào)接管(account takeover����,ATO)及雙重驗(yàn)證(2FA)繞過漏洞����。其中,行動(dòng)RCE漏洞獎(jiǎng)金高達(dá)30萬美元�,而ATO獎(jiǎng)金也增至13萬美元。
臉書表示����,支付指引是為特定漏洞類別設(shè)置平均最高支付水準(zhǔn),并說明臉書評(píng)審漏洞獎(jiǎng)金的條件�����。但該公司強(qiáng)調(diào)每件漏洞通報(bào)都是依個(gè)案審核�,也可能有些漏洞能獲得高于設(shè)置的獎(jiǎng)金上限。
例如���,今年臉書針對(duì)一個(gè)電話號(hào)碼賬號(hào)回復(fù)流程中,可能導(dǎo)致攻擊者重設(shè)密碼����,并接管賬號(hào)的賬號(hào)接管漏洞�����,發(fā)出16.3萬美元獎(jiǎng)金�����。由于發(fā)現(xiàn)漏洞的一名印度研究人員還可將本漏洞串聯(lián)另一個(gè)2FA漏洞�����,又獲得臉書2.5萬美元獎(jiǎng)金���。
而在2FA繞過漏洞中,今年臉書針對(duì)一名尼泊爾研究人員通報(bào)的限流問題����,可讓攻擊者暴力破解證實(shí)用戶手機(jī)號(hào)碼的驗(yàn)證碼,繞過SMS 2FA保護(hù)�,發(fā)出2.7萬美元。
為了推動(dòng)元宇宙愿景的實(shí)現(xiàn)�����,臉書上周也宣布更新獎(jiǎng)勵(lì)條款,加入VR技術(shù)的支付指引�����,把Meta的虛擬現(xiàn)實(shí)(VR)及混合實(shí)境(MR)設(shè)備產(chǎn)品包括Meta Quest Pro和Meta Quest Touch Pro控制器的漏洞列入獎(jiǎng)勵(lì)行列���。
事實(shí)上����,今年臉書已經(jīng)開始重點(diǎn)獎(jiǎng)勵(lì)Quest設(shè)備的漏洞通報(bào)����。例如一名Youssef Sammouda通報(bào)Meta Quest的oAuth流程漏洞,后者可能導(dǎo)致攻擊者2次點(diǎn)擊就接管了用戶賬號(hào)�。為此他獲頒高達(dá)4.4萬美元的獎(jiǎng)金。
閩公網(wǎng)安備 35010202001226號(hào)
