Sul gruppo ufficiale “Facebook Security”, Facebook ha annunciato di aver già sborsato più di 40 mila dollari per le persone che sono riuscite a scoprire dei bug nelle prime tre settimane del programma Bug Bounty. La compagnia di Zuckerberg aveva indetto il programma alla fine del mese di luglio come via alternativa per risolvere il problema della presenza di bug nel proprio sistema di sicurezza. La “taglia” per ogni bug scovato parte da un minimo di 500 dollari, e può salire a seconda dell’entità dell’errore rilevato.
Un cacciatore di bug è riuscito a guadagnare oltre 7 mila dollari grazie alla segnalazione di ben sei falle diverse, mentre un altro ancora è stato pagato 5 mila dollari grazie ad una segnalazione particolarmente importante per il sito. Joe Sullivan, il responsabile della sicurezza di Facebook, ha fatto sapere, attraverso il suo blog ufficiale, che ci sono però anche molti furbi che inviano segnalazioni fasulle solo per cercare pubblicità.
La dichiarazione, tuttavia, continua mettendo in rilevo l’utilità del programma.
Noi conosciamo e abbiamo rapporti con un gran numero di esperti di sicurezza informatica, ma questo programma ha dato il via ad un dialogo con un nuovo e sempre in espansione gruppo di persone provenienti da oltre 16 paesi diversi, dalla Turchia alla Polonia, che sono appassionate della sicurezza del web. Il programma è stato grande anche perché ha reso più sicuro il nostro sito, facendo emergere sia i grandi che i piccoli problemi, presentandoci nuovi attacchi e aiutando a migliorare molte parti del nostro codice.
Molte persone hanno chiesto a Facebook di estendere il programma Bounty Bug anche alle applicazioni di terze parti e siti web che fanno parte della piattaforma Facebook. In merito alla questione, Sullivan ha così replicato sul post del proprio blog:
Purtroppo, questo non è possibile a causa delle centinaia di migliaia di servizi internet indipendenti implicati, ma comunque teniamo alla sicurezza della piattaforma. Abbiamo infatti un team dedicato che scruta i partner e spesso verifica le loro pratiche di privacy e sicurezza. Inoltre, abbiamo sviluppato una serie di terminali che aiutano a rilevare e disattivare automaticamente applicazioni maligne o spam.