A Forbes divulgou o caso de um pesquisador que já recebeu várias recompensas por descobrir falhas no Instagram. Em julho, Laxman Muthiyah revelou que uma vulnerabilidade na rede social lhe permitiu "invadir qualquer conta do Instagram sem permissão de consentimento". A equipe de segurança do Facebook considerou esse um problema grave o suficiente para conceder a Muthiyah uma recompensa de US$ 30 mil. Ele já havia encontrado e divulgado outras três vulnerabilidades do Facebook, dignas de pagamentos de recompensa. ?
Recentemente, Muthiyah encontrou uma nova falha, semelhante à anterior. A vulnerabilidade, desta vez, foi encontrada na validação de códigos de redefinição de senha do Instagram. A falha significava que um invasor poderia solicitar 1 milhão de códigos de redefinição de senha em uma janela de dez minutos e com 100% de êxito. Ele detectou que quando um usuário solicita uma senha usando seu dispositivo móvel, a ID do dispositivo é enviada junto com a solicitação. A mesma ID de dispositivo é usada novamente para verificar a senha. Os códigos de redefinição de senha do Instagram, contudo, expiram 10 minutos após a solicitação, o que levou à conclusão de a vulnerabilidade não é tão grave quanto parece.
A equipe de segurança do Facebook confirmou a vulnerabilidade, que foi corrigida, e concedeu prêmio de US$ 10 mil, agradecendo a Muthiyah por seu relatório — e informando que aguarda os próximos. ?
Programa de recompensa — Falando nisso, o Facebook estendeu o seu programa de recompensa Data Abuse Bounty para o Instagram. A ideia é que pesquisadores de segurança relatem casos de aplicativos de terceiros que acessam e armazenam indevidamente dados do usuário, incluindo aplicativos e serviços que oferecem falsas informações. De acordo com o Engadget, qualquer aplicativo que solicite informações de login de pessoas está violando os termos de uso do Instagram, e o Facebook deseja que a comunidade de segurança o notifique sobre esses casos.
Além disso, o Facebook está trabalhando com pesquisadores de segurança para testar o Checkout no Instagram, o recurso que permite que as pessoas comprem produtos sem sair do aplicativo. Um grupo selecionado de pesquisadores teve acesso antecipado ao Checkout no Instagram e será recompensado por relatórios qualificados.
A empresa de Mark Zuckerberg já desembolsou mais de US$ 1,1 milhão a pesquisadores de segurança de todo o mundo em 2018. O pagamento médio por descoberta de bugs foi de US$ 40 mil. No ano passado, o Facebook recebeu cerca de 17,8 mil relatórios, e o valor médio da recompensa foi em torno de US$ 1,5 mil.
Recommended Comments
There are no comments to display.
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.