A finales de este año, compartimos noticias sobre nuestro trabajo para proteger a las personas de todo el mundo de diversas amenazas. Como parte de esto, compartimos algunas actualizaciones de nuestro programa de recompensas por errores durante el año pasado, cómo estamos trabajando con investigadores externos para ayudar a proteger nuestra tecnología de metaverso de realidad virtual (VR) y realidad mixta, y nuevas reglas de pago. con recompensas de hasta $300,000.
En 2022, recibimos cientos de importantes informes de errores de investigadores de todo el mundo que ayudaron a mantener más segura a nuestra comunidad, y pagamos más de $2 millones en recompensas.
Estos son algunos aspectos destacados de nuestro programa de recompensas por errores:
- Desde 2011, hemos pagado más de $16 millones en recompensas por descubrimiento de errores.
- Desde 2011, hemos recibido más de 170 000 informes, de los cuales más de 8500 han recibido recompensas.
- En lo que va de 2022, hemos donado más de $2 millones a investigadores en más de 45 países.
- Este año recibimos un total de aproximadamente 10,000 presentaciones y otorgamos más de 750 presentaciones.
- Los tres primeros en los premios de este año son India, Nepal y Túnez.
Conexión de la comunidad Bug Bounty con el metaverso
Este año, hemos priorizado integrar aún más nuestro programa de recompensas por errores en nuestro viaje hacia el metaverso:
Destacando el alcance de nuestro programa: Hoy, estamos actualizando nuestros términos y condiciones para resaltar que nuestros productos más recientes, los controladores Meta Quest Pro y Meta Quest Touch Pro, son elegibles para el programa de recompensas por errores.
Actualización de recomendaciones de pago: estamos agregando nuevas recomendaciones de pago para la tecnología VR, incluidos errores específicos de Meta Quest Pro. Estamos entre los primeros programas de recompensas por errores en establecer pautas de pago para dispositivos de realidad virtual y realidad mixta, y continuaremos actualizándolos y ajustándolos a medida que la industria evolucione.
Poner nuestra tecnología en manos de los investigadores: debido a que el espacio de búsqueda de errores es relativamente nuevo para muchos, este año trabajamos para hacer que nuestra tecnología de hardware sea más accesible para la comunidad de investigación para que puedan encontrar errores e informar errores. Por ejemplo, hicimos de nuestra tecnología VR el foco de nuestra BountyCon anual, la única conferencia regular de la industria para cazadores de errores. Una de nuestras sesiones mejor calificadas en la conferencia de este año fue una presentación sobre cómo encontrar errores en nuestros auriculares VR y gafas inteligentes. Después de esta sesión, invitamos a los investigadores a examinar los dispositivos Meta Quest 2 y usarlos durante nuestro evento de piratería en vivo.
Uno de los errores que marcamos como parte de la conferencia fue presentado por nuestro investigador Youssef Sammuda, quien informó un problema en el hilo Meta Quest oAuth que podría conducir al secuestro de la cuenta con dos clics. Solucionamos este problema, nuestra investigación no encontró evidencia de abuso y recompensamos este informe con un total de $ 44,250, incluidas las bonificaciones del programa.
Nuevas pautas de pago
Para fomentar la investigación en áreas específicas, estamos publicando pautas de pago actualizadas para errores de ejecución remota de código móvil (RCE), además de pautas de pago completamente nuevas para eludir las vulnerabilidades de apropiación de cuenta (ATO) y autenticación de dos factores (2FA).
Estas nuevas recomendaciones van desde $ 130,000 para informes ATO y $ 300,000 para errores RCE móviles, lo que convierte a nuestro programa Bug Bounty en uno de los que mejor paga en la industria.
Estas pautas tienen como objetivo establecer un pago máximo promedio para una categoría particular de errores y describir los factores atenuantes que consideramos al determinar la recompensa para ayudar a los investigadores a priorizar su búsqueda. En última instancia, cada informe se evalúa caso por caso y, en algunos casos, se le puede otorgar una calificación superior a la marginal, según la evaluación de impacto interna.
Errores básicos
A continuación se muestran algunos ejemplos de errores importantes que hemos adjudicado de acuerdo con nuestras nuevas pautas:
Secuestro de cuenta y cadena de omisión de autenticación de dos factores: recibimos un informe de Yaala Abdella, quien descubrió un error en el proceso de recuperación de la cuenta de Facebook basado en un número de teléfono que podría permitir que un atacante restableciera las contraseñas y se apoderara de la cuenta si no lo era. . protegido por 2FA. Solucionamos este error y no encontramos signos de abuso. Otorgamos al investigador nuestro premio más alto de $ 163,000, lo que refleja su máximo impacto potencial y bonificaciones de software. Mientras investigábamos, el investigador pudo usar un hallazgo anterior para vincularlo a un error de omisión 2FA separado. Solucionamos este problema y recompensamos al investigador con una recompensa adicional de $24,700, incluidas las bonificaciones del programa.
Omisión de 2FA: también solucionamos un error informado por Gtm Mänôz en Nepal que podría permitir a un atacante eludir la 2FA basada en SMS utilizando un problema de limitación de velocidad para forzar el PIN de verificación necesario para verificar el número de teléfono de alguien. Por este informe, hemos otorgado una recompensa de $27,200.
Gracias a la comunidad Bug Bounty por un gran año: esperamos trabajar juntos nuevamente en 2023.
