继今年漏洞挖掘的丰硕成果后,Meta旗下脸书(Facebook)部门上周宣布更新漏洞奖励计划支付指引,重点加强包括行动远程程序代码执行(mobile RCE)、账号接管、2FA绕过,以及VR产品漏洞的检查,其中RCE最高可拿30万奖金。
脸书表示,自2011年以来,该公司收到外部研究人员17万次漏洞通报,使其发出8,500多次奖励,金额达1,600多万美元。单是在今(2022)年,该公司也收到了约1万次通报,使他们发出750多次奖金,总金额超过200万美元。以获奖金金额的研究人员国籍区分,则以印度、尼泊尔及突尼斯居最高。
在今年的漏洞挖掘奖励方案下,脸书也更新支付指引,以着重特定类别漏洞。包括更新行动远程程序代码执行(RCE)漏洞的支付指引,并增加账号接管(account takeover,ATO)及双重验证(2FA)绕过漏洞。其中,行动RCE漏洞奖金高达30万美元,而ATO奖金也增至13万美元。
脸书表示,支付指引是为特定漏洞类别设置平均最高支付水准,并说明脸书评审漏洞奖金的条件。但该公司强调每件漏洞通报都是依个案审核,也可能有些漏洞能获得高于设置的奖金上限。
例如,今年脸书针对一个电话号码账号回复流程中,可能导致攻击者重设密码,并接管账号的账号接管漏洞,发出16.3万美元奖金。由于发现漏洞的一名印度研究人员还可将本漏洞串联另一个2FA漏洞,又获得脸书2.5万美元奖金。
而在2FA绕过漏洞中,今年脸书针对一名尼泊尔研究人员通报的限流问题,可让攻击者暴力破解证实用户手机号码的验证码,绕过SMS 2FA保护,发出2.7万美元。
为了推动元宇宙愿景的实现,脸书上周也宣布更新奖励条款,加入VR技术的支付指引,把Meta的虚拟现实(VR)及混合实境(MR)设备产品包括Meta Quest Pro和Meta Quest Touch Pro控制器的漏洞列入奖励行列。
事实上,今年脸书已经开始重点奖励Quest设备的漏洞通报。例如一名Youssef Sammouda通报Meta Quest的oAuth流程漏洞,后者可能导致攻击者2次点击就接管了用户账号。为此他获颁高达4.4万美元的奖金。