Aantal bij Facebook gemelde high impact-bugs is met 38 procent gestegen

Facebook en Google hebben cijfers vrijgegeven van hun bug bounty-programma's. Facebook meldt dat het in totaal 13.233 veiligheidsmeldingen ontving. Google laat weten dat het meer dan 2 miljoen dollar aan beloningen uitdeelde, zonder in te gaan op het totale aantal meldingen.

Van alle meldingen die Facebook ontving in 2015, waren er volgens het sociale netwerk 526 terecht. Daarvoor beloonde Facebook 210 veiligheidsonderzoekers in totaal met 936.000 dollar. Het gros van het geld ging naar onderzoekers uit India, Egypte en Trinidad en Tobago. Gemiddeld kregen ze 1780 dollar voor het melden van een bug.

Een van de belangrijkste bevindingen van Facebook is dat er steeds minder 'laaghangend fruit' te vinden is, ofwel bugs die makkelijk te vinden zijn. Problemen met zaken als cross-site scripting en cross-site request forgery komen steeds minder voor, wat volgens het bedrijf komt doordat de systemen steeds volwassener worden. Van alle gevonden bugs kregen 102 ingediende suggesties het label 'high impact' mee. Daarmee waren er 38 procent meer high impact-bugs dan in 2014. Facebook wijt dat op zijn bug-bounty-blog onder andere aan de kwaliteit van de bug-rapporten. De stap-voor-stap-instructies die geleverd worden zijn beter, waardoor fouten en problemen beter te reproduceren zijn, samen met mogelijke risico's die de bugs kunnen opleveren.

Een andere trend die Facebook ziet, is dat er rapporten geleverd worden door beveiligingsonderzoekers die zich niet richten op enkele bugs, maar op de totale business logic. Daardoor kunnen Facebook-ontwikkelaars hele klassen van kwetsbaarheden in een keer aanpakken. Ook stipt Facebook nog enkele 'highlights' aan. Het was bijvoorbeeld mogelijk om via messenger.com csrf toe te passen omdat de hele bescherming daartegen niet functioneerde. Al na enkele minuten ontving het bedrijf vijftien bug-bounty-meldingen.

Google keerde 2 miljoen dollar uit over het jaar 2015, aan ruim 750 individuen en meer dan 300 anderen. Android werd in juni 2015 aan het Security Award Program toegevoegd. Aan deelnemers van dit programma betaalde Google al meer dan 200.000 dollar. Een beveiligingsonderzoeker ontving zelfs 37.500 dollar voor een bug.

Google startte afgelopen jaar ook met een programma om onderzoekers die al vaker bugs ontdekten, van te voren te betalen, ook zonder dat ze met een nieuw probleem op de proppen kwamen. Deze zogenaamde VRP-grants variëren tussen de 500 en 3.133,7 dollar. Het bedrijf meldt ook het eerste succes dat voortkwam uit deze toelage. Een Russische onderzoeker ontdekte een fout in YouTube Creator Studio, waardoor iedereen elke video van YouTube kon verwijderen door slechts de parameter van de url te wijzigen. Naast de toelage kreeg de onderzoeker hier 5000 dollar voor.

De bug bounty-programma's zorgen niet altijd voor positieve geluiden. Onlangs ontdekte een onderzoeker een beveiligingslek op een Instagram-server, waarna hij, nadat hij een beloning had ontvangen, verder ging zoeken, weer fouten vond en deze meldde aan Facebook. Daarvan vond Facebook dat de onderzoeker te ver ging.

Door Krijn Soeteman

Freelanceredacteur

Feedback • 10-02-2016 11:3416

10-02-2016 • 11:34

16 Linkedin

Lees meer

Maak kennis met de white hats

Ethische hackers over bounties en disclosure

 63
Lek gaf kwaadwillenden toegang tot verborgen e-mailadressen op Facebook Nieuws van 22 december 2016
Nintendo looft tot 20.000 dollar uit voor 3DS-kwetsbaarheden Nieuws van 6 december 2016
Microsoft beloont onderzoeker met 13.000 dollar voor ernstig authenticatielek Nieuws van 4 april 2016
Google publiceert tussentijdse kernel-patch voor kritiek lek in Android Nieuws van 19 maart 2016
Facebook lost bug in bèta-site op waarmee accounts te kapen waren Nieuws van 8 maart 2016
Malwarebytes begint 'Bug Bounty'-programma na vondst kwetsbaarheden Nieuws van 2 februari 2016
Onderzoeker ontdekt Instagram-lek en raakt in conflict met Facebook Nieuws van 18 december 2015
Google gaat Pwnium-beloningsprogramma gehele jaar openstellen Nieuws van 25 februari 2015
Google gaat veiligheidspatches voor opensource-software belonen Nieuws van 10 oktober 2013
Google beloont hacker alsnog voor Chrome OS-exploit Nieuws van 19 maart 2013
Meer producten en artikelen
Netwerk en systeembeheer Google Facebook

Reacties (16)

-Moderatie-faq
16
16
14
0
0
0
Wijzig sortering
XyritZz
10 februari 2016 11:53
De bug bounty-programma's zorgen niet altijd voor positieve geluiden. Onlangs ontdekte een onderzoeker een beveiligingslek op een Instagram-server, waarna hij, nadat hij een beloning had ontvangen, verder ging zoeken, weer fouten vond en deze meldde aan Facebook. Daarvan vond Facebook dat de onderzoeker te ver ging.
Mwoah, conclusie was volgens mij dat de onderzoeker ook echt te ver was gegaan en vervolgens liep te klagen dat hij te weinig geld uitgekeerd kreeg. Dat zijn niet echt negatieve geluiden over het bug-bounty programma, maar eerder een onderzoeker die zichzelf belachelijk maakt.
EdjeCageman
@XyritZz10 februari 2016 12:05
Nee dit was een onderzoeker die dmv een bug in het systeem is weten te komen. Dit heeft gemeld vervolgens dmv de bug meer toegang heeft gekregen tot privacy gevoelige informatie door weer een andere bug. Hierbij werd de onderzoeker op z'n vingers getikt en vond het betreffende bedrijf dat hij niks kreeg voor het melden van de laatste bug.

Bron? Geen idee ik ga eens op zoek voor je :)
stuiterveer
@EdjeCageman10 februari 2016 12:14
Bronnen:
nieuws: Onderzoeker ontdekt Instagram-lek en raakt in conflict met Facebook
https://www.facebook.com/...-ethics/10153799951452929
http://www.forbes.com/sit...ecurity-research-threats/
http://exfiltrated.com/research-Instagram-RCE.php

Deze bronnen zijn trouwens ook terug te vinden via dit artikel zelf.
Alpacalex
@EdjeCageman10 februari 2016 13:28
[...] door weer een andere bug.
Nee, zeker niet. Als je de Facebook post leest zie je dat hij simpelweg toen hij binnen was een AWS API key heeft gebruikt die voor die applicatie beschikbaar was (zolang je dit soort keys afgeschermd houdt van de buitenwereld is er niets aan de hand) om toegang te krijgen tot een S3 bucket. Het vinden en gebruiken van die key is zeer zeker te ver gaan omdat zo'n S3 bucket alleen maar data bevat (het lijkt erop dat het met name systeem logs en info betreft), en dus niet onder het zoeken van bugs valt.

[Reactie gewijzigd door Alpacalex op 10 februari 2016 13:28]

EdjeCageman
@Alpacalex10 februari 2016 13:32
Ik deed het uit mijn blote bolletje, had stomweg over de eerder genoemde links heen gelezen. Maar inderdaad zoals je stelt.

Desalniettemin, hij is wel te ver gegaan.
Tweade
@XyritZz10 februari 2016 12:02
Hoezo te ver? Het leek meer een poging van Facebook om de aandacht af te leiden van de toch wel erg slordig ingerichte beveiliging.
XyritZz
@Tweade10 februari 2016 20:06
Omdat Facebook in hun bug bounty programma duidelijk in de spelregels heeft gezet dat je een lek mag constateren maar niet zelf uit mag gaan zoeken wat het potentiele gevolg er van kan zijn. Dat heeft deze onderzoeker wel gedaan, en dus buiten de regels van het bounty programma gehandeld. Facebook is dus genereus dat ze uberhaupt nog geld toekennen.
m8ZBm1Si
@Tweade10 februari 2016 13:43
Hoezo? Omdat ze een AWS key op de server hebben? Hij was binnen op de server en is daarna verder gaan graven. Maar hij was al binnen op de server, dus kon toch al bijna alles.
air2
@XyritZz10 februari 2016 14:22
Zeker niet, of hij te ver is gegaan of niet, was helemaal het punt niet, evenals de financiële vergoeding. wat wel naar was, was dat, terwijl deze kerel op eigen naam werkte, Facebook naar zijn baas stapte en daar met juridische stappen dreigde naar het bedrijf waar die man voor werkte, terwijl het bedrijf hier helemaal geen partij was. Iets wat hem gemakkelijk zijn baan had kunnen kosten in Amerika. DAT soort praktijken hoort gewoon niet. Of die man nu te ver ging of niet, Facebook had nooit naar zijn werkgever mogen stappen, omdat dit allemaal op persoonlijke titel gebeurde.
XyritZz
@air210 februari 2016 20:12
Volgens Facebook heeft hij contact opgenomen via een e-mail adres van z'n werkgever. Dan hebben ze mijns inziens ook gewoon het recht om contact op te nemen met het bedrijf waar hij werkt.

Ik geloof Facebook hierin toch sneller dan de onderzoeker die op mij overkwam als erg gefrustreerd omdat hij naar eigen zeggen een miljoen dollar was misgelopen.*

*
offtopic:
Facebook heeft ooit eens gezegd dat ze bij de "million dollar bug" ook echt een miljoen uit zouden keren aan bounty. Volgens de onderzoeker was dit de million dollar bug omdat de potentiele gevolgen er van gigantisch waren.
Lethalis
10 februari 2016 11:39
Geweldig dat bedrijven dit doen :)
Orthodroom
@Lethalis10 februari 2016 11:44
Het is voor hun goedkoper dan personeel er voor aannemen.
Lethalis
@Orthodroom10 februari 2016 11:46
Dat is waar, maar het is ook veel effectiever.

Hoe meer mensen naar bugs zoeken, hoe beter.

Daarnaast heb je nog steeds een heel team aan personeel nodig dat ook begrijpt wat er gemeld wordt, dus uiteindelijk valt het wel mee qua besparen op personeel.

[Reactie gewijzigd door Lethalis op 10 februari 2016 11:48]

supersnathan94
@Lethalis10 februari 2016 12:01
Begrijpen wat er gemeld wordt is 1, maar daadwerkelijk de bug vinden is iets anders. Onthoud wel dat het hier gaag om de mensen die deze bug in eerste instantie hebben gecreëerd. De taak om het op te lossen komt uiteindelijk wel weer terug op het bordje van de ontwikkelaar die waarschijnlijk allemaal minimaal 1 bug op hun naam hebben staan.

Het vinden van dergelijke problemen gaat veel efficiënter als je duizenden mensen gratis een "code review" laat doen en vervolgens beloningen uitkeert voor het vinden en melden van ernstige fouten.
Cornelisjuh
@Orthodroom10 februari 2016 11:45
En goedkoper dan de eventuele schade van de gevolgen als iemand die een bruikbare high impact bug doorverkoopt op de zwarte markt ;)
Anoniem: 324173
10 februari 2016 14:54
dus bug vinden en gemiddeld 1800 euro opstrijken :)

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee