Facebookがクロスサイトスクリプティング(XSS)などの脆弱性を発見・報告した研究者に報奨金を支払う制度を導入した。
米Facebookは、セキュリティ問題を見つけて同社に報告した研究者に報奨金を支払う制度「Security Bug Bounty」を導入した。
Facebookによると、報奨金はクロスサイトスクリプティング(XSS)、クロスサイトリクエストフォージェリ(XSRF)、リモートコードインジェクションといった脆弱性について、最初に報告を寄せた研究者に支払う。金額は500米ドルを基本に、内容に応じて増額する。
報奨金を受け取るには、情報を一般に公開する前にFacebookに報告するなど、「責任ある情報公開ポリシー」に従っていることが条件となる。
また、サードパーティーのアプリケーションやWebサイトのセキュリティ問題、Facebookの企業インフラのセキュリティ問題、サービス妨害(DoS)の脆弱性、スパムおよびソーシャルエンジニアリングの手口に関する情報は、報奨金の対象にはならない。
脆弱性情報に報奨金を支払う制度は、米GoogleやMozillaなどが既に導入している。
Copyright © ITmedia, Inc. All Rights Reserved.