Facebook betaalde al 40.000 dollar voor bugs

Sinds Facebook zijn ‘Bug Bounty’ programma heeft aangekondigd, betaalde het bedrijf al 40.000 dollar uit aan hackers die zwakheden meldden.

Sinds Facebook zijn ‘Bug Bounty’ programma heeft aangekondigd, betaalde het bedrijf al 40.000 dollar uit aan hackers die zwakheden meldden.

Begin augustus is Facebook met een programma gestart, ‘Bug Bounty’, waarin het goedwillende hackers wereldwijd uitnodigt op zoek te gaan naar zwakheden in de Facebook site. Wie als eerste een nieuw probleem meldt, kan op minimaal 500 dollar beloning rekenen. Sinds het begin van het programma – dat onder meer op de Amerikaanse hackerevents Black Hat en DefCon werd gepropageerd – betaalde het bedrijf al 40.000 dollar uit, waaronder 7.000 dollar aan een persoon die zes verschillende zwakheden aanbracht, evenals 5.000 dollar “for one really good report”.

In een boodschap benadrukt Joe Sullivan, Facebook’s chief security officer, dat er “veel getalenteerde en goedwillende security experts in de wereld zijn, die niet voor Facebook werken.”

In de voorbije jaren had Facebook al een ‘white hat’ -programma opgezet gericht op een aantal onderzoekers, en het ‘Bug Bounty’-progamma is daarvan een uitbreiding. Ondertussen hebben al personen “uit meer dan 16 landen, van Turkije tot Polen” hun medewerking verleend. Facebook vraagt de ontdekkers van een probleem wel het bedrijf “een redelijke tijd [te geven] om het probleem te verhelpen, vooraleer het [probleem] publiek te maken.”

Beperkingen Voorts beperkt Facebook het programma ook tot de website zelf, en niet de vele toepassingen van derden, of sites die aan Facebook zijn gelinkt. Daarbij speelt allicht het te grote aantal toepassingen een rol, terwijl bovendien de kwaliteit van een app uiteindelijk de verantwoordelijkheid van de bouwer is. Het verzoek om gelinkte sites niet te hacken, heeft dan weer te maken met het legaal dun ijs waarop hackers zich eigenlijk begeven. In de meeste landen, zowel in de VS (cfr. de Digital Millennium Copyright Act) als in België, is het binnendringen, zeg maar het ‘hacken’ van een site (of eenvoudigweg andermans systeem) strafbaar. ‘Penetration testers’ – security experten die de veiligheid van een site of systeem testen – moeten daarvoor dan ook steeds uitdrukkelijk de toestemming krijgen van de eigenaar of verantwoordelijke voor het systeem. Facebook kan met zijn ‘Bug Bounty’-oproep dan ook enkel het recht verlenen de eigen site aan te pakken.

Facebook is overigens niet het enige bedrijf dat goedwillende hackers vergoedt voor het melden van problemen. Er woedt trouwens al jaren een discussie over het al dan niet oirbaar zijn om zwakheden tegen vergoeding kenbaar te maken. Een aantal experten specialiseren zich immers in het verhandelen van zwakheden als een (stevig) onderdeel van hun inkomsten. Dat is dan in tegenstelling tot de oertijd van de hackerswereld, waarin dergelijke informatie gratis werd verspreid, enkel en alleen om de eer en het respect dat dit bij de andere hackers genereerde. Door de handel in zwakheden zou de informatie niet altijd zo snel mogelijk terecht komen bij de personen die er echt nood aan hebben, of er goed gebruik kunnen van maken.

Hoedanook, wie zich geroepen voelt zijn diensten te verlenen aan Facebook’s ‘Bug Bounty’ programma vindt hier de regels van het spel.