Um bug que pode valer mais de R$ 240 mil
O Facebook está ampliando seu programa de recompensas para quem descobre e informa sobre bugs em algum de seus sistemas – problemas mais raros recebem bônus bem interessantes. Aliás, agora isso pode ser feito também em aplicativos de terceiros que interagem com uma das redes sociais de Mark Zuckerberg.
Segundo a empresa, a mudança aumenta significativamente a capacidade de pesquisa da comunidade de recompensas por bugs. Os valores partem de US$ 500 (mais de R$ 2 mil) e podem chegar a mais de R$ 240 mil para falhas encontradas no dispositivo Portal. Problemas reportados no Facebook Messenger do iOS recebem bônus de US$ 15 mil e falha de segurança no Oculus Quest vale US$ 40 mil.
Nada mal, né?
Para levar essa grana é preciso comprovar que os aplicativos de terceiros autorizaram a realização dos testes. Segundo o código que dita as regras de whitehat do Facebook, devem ser encontrados erros de segurança que levam à exposição de tokens de acesso de usuários da rede social a entidades não autorizadas. “Somente aplicativos de terceiros com pelo menos 50 mil usuários ativos estão dentro do escopo”, explica a empresa.
O programa de recompensa de bugs para aplicativos de terceiros foi anunciado ainda em 2018. Interessante lembrar que o abuso no uso de dados é considerado como falha de segurança.
Confira algumas das exigêncas do Facebook para qualificar um apontamento de falha e, assim, pagar a gratificação:
Obedecer à Política de Divulgação Responsável
Relatar um erro de segurança, ou seja, identificar uma vulnerabilidade nos serviços ou na infraestrutura que crie risco de segurança ou de privacidade
Enviar a denúncia por meio do formulário específico – um problema por denúncia
Não entrar em contato com funcionários diretamente ou através de outros canais para falar sobre a denúncia.
Usar contas de teste ao investigar problemas. Se não conseguir reproduzir um problema com uma conta de teste, aí sim é possível usar uma conta real (exceto para testes automatizados)
Não interagir com outras contas sem consentimento