Facebook выплатила пользователю $15 000 за обнаружение серьёзной ошибки

В прошлом месяце эксперт в сфере безопасности Ананд Пракаш (Anand Prakash) наткнулся на серьёзный баг в системе безопасности Facebook. При восстановлении аккаунта на телефон пользователя отправляется шестизначный код, при этом такой код используется как временный пароль. Однако если в обычных ситуациях после нескольких неудачных попыток ввести пароль аккаунт блокируется, то в бета-версии сайта, где разработчики часто задействуют новые функции, такой защиты не было. Поскольку с бета-страницы Facebook можно войти в какой угодно аккаунт, злоумышленник мог бы получить доступ к любому аккаунту постоянным перебором временных паролей.

Этот баг стал результатом изменений в тестовой странице Facebook, внесённых несколькими днями ранее. К счастью, никому, кроме Пракаша, ошибку обнаружить не удалось. Эксперт отправил информацию об уязвимости через специальную страницу Facebook, и на следующий день компания заявила, что проблема была исправлена. Спустя восемь дней после этого компания выплатила Пракашу $15 тысяч за обнаружение бага.

Для такой относительно простой уязвимости это большая сумма, однако для Facebook куда важнее поощрять обнаружение таких проблем на сайте, чем пытаться сэкономить мизерные для себя деньги. Если бы проблема добралась до нормальной версии социальной сети, то последствия могли бы быть катастрофическими.

«Одно из самых ценных преимуществ программы по поиску багов — это возможность находить проблемы ещё до того, как они достигнут стадии производства», — заявила Facebook. «Мы счастливы признать и наградить Ананда за его великолепный отчёт». Стоит отметить, что с момента запуска программы по поиску багов, состоявшегося в 2011 году, компания выплатила около $4,3 млн более чем 800 пользователям.