為了推動元宇宙願景的實現,臉書宣布更新漏洞獎勵計畫,把Meta的虛擬實境(VR)及混合實境(MR)裝置產品包括Meta Quest Pro和Meta Quest Touch Pro控制器的漏洞列入獎勵行列。(圖片來源/Meta)

繼今年抓漏的豐碩成果後,Meta旗下臉書(Facebook)部門上周宣布更新漏洞獎勵計畫支付指引,重點加強包括行動遠端程式碼執行(mobile RCE)、帳號接管、2FA繞過,以及VR產品漏洞的檢查,其中RCE最高可拿30萬獎金。

臉書表示,自2011年以來,該公司收到外部研究人員17萬次漏洞通報,使其發出8,500多次獎勵,金額達1,600多萬美元。單是在今(2022)年,該公司也收到了約1萬次通報,使他們發出750多次獎金,總金額超過200萬美元。以獲獎金金額的研究人員國籍區分,則以印度、尼泊爾及突尼西亞居最高。

在今年的抓漏獎勵方案下,臉書也更新支付指引,以著重特定類別漏洞。包括更新行動遠端程式碼執行(RCE)漏洞的支付指引,並增加帳號接管(account takeover,ATO)及雙因素驗證(2FA)繞過漏洞。其中,行動RCE漏洞獎金高達30萬美元,而ATO獎金也上看13萬美元。

臉書表示,支付指引是為特定漏洞類別設定平均最高支付水準,並說明臉書評審漏洞獎金的條件。但該公司強調每件漏洞通報都是依個案審核,也可能有些漏洞能獲得高於設定的獎金上限。

例如,今年臉書針對一個電話號碼帳號回復流程中,可能導致攻擊者重設密碼,並接管帳號的帳號接管漏洞,發出16.3萬美元獎金。由於發現漏洞的一名印度研究人員還可將本漏洞串聯另一個2FA漏洞,又獲得臉書2.5萬美元獎金。

而在2FA繞過漏洞中,今年臉書針對一名尼泊爾研究人員通報的限流問題,可讓攻擊者暴力破解證實用戶手機號碼的驗證碼,繞過SMS 2FA保護,發出2.7萬美元。

為了推動元宇宙願景的實現,臉書上周也宣布更新獎勵條款,加入VR技術的支付指引,把Meta的虛擬實境(VR)及混合實境(MR)裝置產品包括Meta Quest Pro和Meta Quest Touch Pro控制器的漏洞列入獎勵行列。

事實上,今年臉書已經開始重點獎勵Quest裝置的漏洞通報。例如一名Youssef Sammouda通報Meta Quest的oAuth流程漏洞,後者可能導致攻擊者2次點擊就接管了用戶帳號。為此他獲頒高達4.4萬美元的獎金。

熱門新聞

Advertisement