Разыскиваются уязвимости в Facebook

Разыскиваются уязвимости в Facebook

Руководство крупнейшей в мире социальной сети объявило, что будет выплачивать вознаграждение за каждый обнаруженный изъян, угрожающий безопасности пользователей или конфиденциальности их персональных данных.


Базовая сумма выплат (например, за выявление ошибок, открывающих путь для межсайтового исполнения сценариев) составит 500 долларов США. Если же исследователю удастся обнаружить некую "специфическую" ошибку (что под этим подразумевается, из анонса не ясно), то он сможет рассчитывать и на более крупное вознаграждение. Чтобы претендовать на денежный приз, нужно быть первым, кто сообщит о том или ином изъяне через специальную форму, и не являться при этом резидентом государства, против которого правительством США установлены какие-либо санкции.

В наши дни выплата премий за обнаружение уязвимостей является скорее экзотикой: большинство крупных производителей программных продуктов не проявляет особенного желания поощрять исследователей, а некоторые из них вместо благодарности могут и в суд подать за выявление изъяна. К счастью, последний вариант развития событий встречается редко; Microsoft, например, даже официально заявила об отказе от каких-либо санкций по отношению к тем "светлым хакерам", которые ответственно и разумно подходят к поиску ошибок безопасности.

Facebook, таким образом, становится третьим программным гигантом, который объявляет о вознаграждении за уязвимости. До него аналогичные программы запустили Mozilla и Google; на данный момент максимальная сумма, выплаченная за один обнаруженный изъян, для обеих компаний составляет примерно три тысячи долларов. К рассмотрению команда безопасности Facebook принимает любые ошибки безопасности, существующие в веб-приложениях социальной сети. В свою очередь, отказ в обслуживании, нежелательная корреспонденция, приемы психологического манипулирования (социнжиниринг), а также изъяны в третьесторонних приложениях и веб-сайтах, равно как и в корпоративной инфраструктуре Facebook, в список вознаграждаемых уязвимостей и проблем не входят.

The Register

Письмо автору

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Период распродаж сопровождался ростом активности DDoS и ботов

Киберпреступники не обошли стороной известный день распродаж — 11 ноября. Злонамеренная активность превышала легитимную почти на два порядка. Особенно интенсивно атаковали крупных ретейлеров.

В текущем году активность покупателей перед «Днем холостяка» 11 ноября, когда многие компании открывают сезон скидок, превышала среднюю в 2-3 раза. Но еще больше росла активность ботов.

Руководитель аналитического отдела Servicepipe Антон Чемякин сообщил «Известиям», что максимальная мощность атаки на один из российских маркетплейсов достигала 3,5 млн запросов в минуту, что в 50 раз превысило легитимную активность даже с учетом пиковой загрузки. DDoS-атаки на ретейлеров уже давно стали неотъемлемой частью сезона распродаж.

Активность ботов он связал с деятельностью конкурентов, которые собирали и структурировали информацию о товарном предложении и ценах. Подобная деятельность началась до старта активных распродаж.

Однако только сбором данных «ботоводы» не ограничивались. Директор платформы облачной киберзащиты Solar Space ГК «Солар» Артем Избаенков привел такой пример активности ботов незадолго до начала распродаж, с конца октября:

«Боты атакуют интернет-магазины разными способами. Например, создают ложные заявки на бронь товара, закидывают горячие линии спам-звонками и массово заполняют формы обратной связи на сайтах, имитируя высокий спрос. Такая ситуация не оставляет небольшим компаниям времени на обработку настоящих заказов, что, в свою очередь, полностью останавливает рабочие процессы».

Использовали ажиотаж перед сезоном распродаж и организаторы фишинговых кампаний. Их активность, по данным экспертов, опрошенных «Известиями», выросла в среднем в 5 раз.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru