Facebook vai dar recompensas pela localização de falhas em sistemas de login

O Facebook anunciou nesta semana que a busca e localização de vulnerabilidades em seus sistemas de login para sites de terceiros também passará a fazer parte do programa de recompensas da empresa. A ideia é incentivar especialistas e hackers a buscarem por falhas na proteção dos tokens de acesso mesmo quando utilizados por serviços de terceiros, já que isso também implica em um comprometimento na segurança de seus próprios utilizadores.

Para continuar a leitura clique em "Ler mais..." no botão abaixo!

No texto de anúncio, a rede social mostra interesse especial em falhas que exponham os dados e permissões dos usuários, permitindo que tais credenciais sejam mal utilizadas por terceiros. Sendo assim, explorações baseadas em manipulação de dados não são aceitas, como aquelas que retrabalham os tokens de acesso em um dispositivo separado, de forma a levar um site, aplicativo ou serviço a se comportar de maneira indevida.

Isso se deve ao fato de que vulnerabilidades desse tipo são de responsabilidade dos serviços e não do Facebook em si, permanecendo, então, fora do escopo do programa de recompensas da rede social. Por outro lado, a exploração de dados presentes nos tokens pode, sim, ser abordada, mesmo que utilizada em plataformas fora do controle da empresa.

Os pagamentos serão feitos após avaliação de especialistas da companhia e de acordo com o impacto da falha descoberta. A recompensa mínima é de US$ 500 por aplicativo ou site vulnerável, enquanto os sites e empresas responsáveis pela falha serão contatados pelo Facebook para correção, com os tokens comprometidos sendo revogados — o que exigirá apenas um novo login pelos usuários.

Caso as plataformas detectadas não respondam ou falhem em consertar o problema, elas serão impedidas de usar o sistema de login da rede social. Neste caso, os utilizadores também serão avisados, para que tomem conhecimento de que suas informações de acesso acabaram expostas e podem ser mal utilizadas.

Com o comunicado, o Facebook também afirma ser a primeira empresa de tecnologia a ampliar o escopo de seu programa de recompensas por falhas para além de seus próprios domínios, de forma a abranger, também, serviços gerenciados por terceiros. Para a companhia, a novidade é uma extensão de uma iniciativa já existente, voltada para o abuso na utilização de dados e o mal-uso de informações dos usuários para fins além daqueles autorizados pelos próprios.

O Facebook publicou uma lista de requisitos e melhores práticas para quem estiver interessado em reportar bugs dessa categoria. Ela inclui, por exemplo, a melhor forma de fazer isso e o que deve ser indicado para a empresa, bem como a exigência de inclusão de provas de conceito que demonstrem a vulnerabilidade ou exemplos da utilização indevida de informações de login por conta da exposição do token durante esse processo.

Por:Felipe Demartini
Fonte:Facebook/Canaltech