為保障系統安全性,科企均會設立漏洞懸賞計畫來邀請安全人員匯報漏洞。而近日Meta旗下的Facebook就宣布,更新漏洞獎勵計畫支付指引,若匯報特定類別漏洞,最高可獲30萬美元(約233萬港元)獎金。
Facebook表示,為了能安全地推動元宇宙願景,減少系統漏洞,接下來將會把Meta的虛擬實境(VR)及混合實境(MR)裝置產品包括Meta Quest Pro和Meta Quest Touch Pro控制器的漏洞列入獎勵行列。
而今年則重點加強了如行動裝置遙距執行程式碼(mobile RCE)、帳號接管、繞過雙重認證,以及VR產品漏洞的檢查,Facebook也為此向相關安全人員提供獎金,其中mobile RCE漏洞獎金高達30萬美元,而帳號接管漏洞的獎金有13萬美元(約101萬港元)。Facebook又指,設立支付指引是為特定漏洞類別設定平均最高支付標準,並說明Facebook評審漏洞獎金的條件。
獎金依個案審核 部分漏洞可獲高於上限
但該企強調,每個漏洞獎金都是依個案審核,也可能有部分漏洞,能獲得高於設定的獎金上限。例如今年Facebook就針對一個電話號碼帳號回復流程中,可能導致攻擊者重設密碼,並接管帳號的帳號接管漏洞,發放16.3萬美元獎金(約126萬港元)。而當時發現該漏洞的一名印度研究人員,還將此漏洞串聯另一個雙重驗證漏洞,因此又獲得2.5萬美元(約19萬港元)獎金。
Facebook透露,自2011年以來,該企收到外部研究人員超過17萬次漏洞通報,並發出逾次獎勵,金額超過1,600萬美元(約1.24億港元)。單計算今年,該企也收到了約1萬次報告,發出超過750次獎金,總金額超過200萬美元(約1,556萬港元)。以獲獎金額最高的研究人員,主要是來自印度、尼泊爾及突尼西亞。