Luego del escándalo de Cambridge Analytica, Facebook empezó a tomar medidas en torno sus políticas de privacidad y reforzó algunos procesos de seguridad. En este sentido, desde el mes de abril, la empresa de Mark Zuckerberg comenzó a ofrecer recompensas a aquellos que reportaran violación de datos.
Ahora, la empresa acaba de anunciar que está expandiendo su programa de recompensas, para aquellos que reporten errores y vulnerabilidades en aplicaciones de terceros que se conectan a su plataforma.
Tal como reportó Dan Gurfinkel, gerente de ingeniería de seguridad de Facebook, en una publicación en el blog oficial, el uso de los tokens de seguridad, en el proceso de iniciar sesión en la plataforma, pueden ser una real bomba de tiempo si llega a caer en manos de un extraño.
«Si se expone, un token puede ser mal utilizado, en función de los permisos establecidos por el usuario«, dijo Gurfinkel «Queremos que los investigadores tengan un canal claro para informar estos importantes asuntos, y queremos hacer nuestra parte para proteger la información de las personas, incluso si el origen de un error no está bajo nuestro control directo«.
Gurfinkel señaló que los desarrolladores de aplicaciones deben proteger los datos de los usuarios. Los reportes válidos recibirán un mínimo de USD$500, y la recompensa aumentará de acuerdo con el impacto del fallo.
«Hemos actualizado nuestros términos de servicio para que el programa incluya información sobre lo que esperamos de estos informes.
Por ejemplo, los investigadores deben asegurarse de incluir una prueba de concepto clara que demuestre una vulnerabilidad que podría permitir el acceso o el uso indebido de los tokens de acceso de los usuarios asociados con las aplicaciones en la plataforma de Facebook.
Es importante destacar, que solo aceptaremos informes si el error se descubre al visualizar pasivamente los datos enviados ao desde su dispositivo mientras se usa la aplicación vulnerable o el sitio web.
No se le permite manipular ninguna solicitud enviada a la aplicación o sitio web desde su dispositivo, ni interferir con el funcionamiento normal de la aplicación o sitio web en relación con la presentación de su informe.
Por ejemplo, las vulnerabilidades SQLi, XSS, de redirección abierta o de anulación de permisos (como IDOR) están estrictamente fuera del alcance.»
Por su parte, las aplicaciones afectadas recibirán una notificación y Facebook trabajará para solucionar el problema. Asimismo, la empresa también notificará a los usuarios afectados por la vulnerabilidad reportada.
Facebook se encuentra trabajando arduamente para velar por la seguridad de los usuarios, luego de la ola de críticas generadas, así como las denuncias por la divulgación de Fake News, ante esto, la plataforma también planea construir un centro de mando para combatir la difusión de noticias falsas durante las elecciones de noviembre en EEUU.
