Facebook抓漏獎勵計畫三周送出逾4萬美元獎金

Facebook於7月30日祭出尋找臭蟲賞金計畫（security bug bounty program），付費給找出該站臭蟲的安全研究人員，同時建立白帽（whitehat）網站以揭露該計畫的各類資訊。

根據該計畫，研究人員向Facebook舉報一般的漏洞可獲得500美元的獎賞，特別一點的漏洞則可獲得更高的獎金。該計畫主要以Facebook網站上的漏洞為主，並不包含第三方應用程式、與Facebook整合的第三方網站、與Facebook基礎架構有關的漏洞、阻斷式服務攻擊漏洞，以及垃圾訊息或社交工程技術等。

Facebook安全長Joe Sullivan周一（8/29）表示，該站原本就與大量的安全專家保持良好關係，但此一計畫讓Facebook觸及全球16個國家的新安全專家。該計畫上線的3周內，Facebook就已頒發逾4萬美元的賞金，其中有一名研究人員藉由所揭露的6個安全漏洞獨得7000美元，迄今Facebook為單一漏洞所支付的最高賞金為5000美元。

Sullivan說，該計畫讓Facebook大大小小的安全問題都浮上檯面，研究人員亦會提出各種新奇的攻擊方式，然後協助Facebook改善程式，使Facebook更加安全。

雖然有些研究人員希望Facebook可把抓漏範圍擴及第三方程式或網站，但Sullivan認為這並不實際，因為Facebook平台上有數十萬種的獨立程式與服務。

為了讓外部的安全研究人員可協助找出開放網路服務的安全漏洞，包括Google及微軟都曾祭出抓漏獎勵計畫，Google提供單一臭蟲的基本獎勵亦為500美元。這些獎勵計畫共同的目標都是為了強化服務的安全性，同時鼓勵安全研究人員在第一時間就向業者回報安全漏洞，而非將漏洞資訊或攻擊程式公諸於世。（編譯/陳曉莉）