Czym jest pojęcie „bug bounty” chyba nie trzeba nikomu z IT tłumaczyć. W skrócie – jest to bardzo interesujący sposób na wykorzystanie swojej analitycznej, hackerskiej wiedzy do legalnego zarabiania sporych pieniędzy. Producenci oprogramowania oraz giganci technologiczni płacą często ogromne sumy za zgłoszenie błędów i podatności w ich produktach.
Lider mediów społecznościowych- Facebook wpadł jednak na całkiem nowy pomysł i poszedł o krok dalej. Uruchomił pierwszy w historii program lojalnościowy dla łowców podatności o nazwie Hacker Plus.
Zaprojektowany na podstawie programów lojalnościowych używanych na przykład przez linie lotnicze i hotele, Hacker Plus zapewni dodatkowe bonusy i specjalne korzyści dla łowców błędów na podstawie ich wcześniejszych dokonań. Każdy badacz, który zgłosił lub zgłosi błędy do programu bounty na Facebooku, jest automatycznie uwzględniany i klasyfikowany w programie lojalnościowym Hacker Plus. Facebook powiedział, że planuje na bieżąco oceniać wyniki analityków bezpieczeństwa na podstawie łącznej ilości zgłoszonych podatności, punktacji otrzymywanej za podatności oraz stosunku zaliczonych odkryć do szumu zgłoszonych błędów w ciągu ostatniego roku.
Na podstawie wyników hackerzy zostaną umieszczeni w jednym z pięciu poziomów (lig): brązowym, srebrnym, złotym, platynowym i diamentowym. Nie da się ukryć, że inspiracją są tutaj gry wideo online i ma to na celu jeszcze bardziej motywować i przyciągać użytkowników do efektywnego szukania błędów na Facebooku.
Każda liga ma swoje benefity. Najczęstszą korzyścią jest dodatkowa premia pieniężna za udane zgłoszenia błędów. Łowcy z Brązowej Ligi otrzymają 5% premii do każdego otrzymanego zlecenia. Diamentowi członkowie ligi otrzymają 20% premii do każdej nagrody, którą otrzymają. Badacze z lig wyższych poziomów – Złotej, Platynowej i Diamentowej – otrzymają ekskluzywne zaproszenia do przetestowania nowych funkcji i produktów przed ich premierą.
Członkowie ligi Diamentowej i Platynowej otrzymają również zaproszenia na imprezy rozdania nagród za podatności z zapewnionymi podróżami i zakwaterowaniem (podróż na imprezy może ulec zmianie zgodnie z polityką firmy dotyczącą COVID-19) – powiedział Facebook.
Odkrywcy podatności mogą awansować na kolejne poziomy i mogą śledzić ranking swoich dokonań na stronie głównej Bug Bounty na Facebooku.
Dodatkowe informacje są dostępne na oficjalnej stronie programu lojalnościowego.
Ponadto Facebook uruchomił nowe narzędzie dla poszukiwaczy błędów.
Jego nazwa to FBDL (Facebook Bug Description Language) i pomoże poszukiwaczom błędów w pisaniu lepszych opisów znalezionych luk w zabezpieczeniach, aby pracownicy Facebooka mogli łatwiej odtwarzać błędy podczas analizowania przesłanych zgłoszeń.
Facebook powiedział, że łowcy błędów, którzy używają FBDL, mogą oczekiwać, że ich zgłoszenia błędów zostaną rozwiązane szybciej, ale firma jest również skłonna dodać premię pieniężną za zweryfikowane błędy, które mają opis FBDL – tylko po to, aby przyspieszyć adopcję narzędzia. Bonus wyniesie 5% nagrody podstawowej, ale nie więcej niż 500 $.
Dodatkowe informacje dostępne na oficjalnej stronie FBDL .