نگاهی به برنامه Bug Bounty ما در سال 2022

برای تشویق به تحقیق در زمینه‌های خاص، دستورالعمل‌های پرداخت به‌روزرسانی شده را برای اشکالات اجرای کد از راه دور تلفن همراه (RCE) به اضافه دستورالعمل‌های پرداخت جدید برای تصاحب حساب (ATO) و احراز هویت دو مرحله‌ای (2FA) آسیب‌پذیری‌های دور زدن منتشر می‌کنیم.

یکی از اشکالاتی که ما به عنوان بخشی از کنفرانس جایزه دادیم توسط محقق قدیمی ما یوسف سامودا ارائه شد، که مشکلی را در جریان oAuth متا کوئست گزارش کرد که می‌توانست منجر به تصاحب حساب با 2 کلیک شود. ما این مشکل را برطرف کردیم، تحقیقات ما هیچ مدرکی مبنی بر سوء استفاده پیدا نکرد و در مجموع 44250 دلار به این گزارش پاداش داد، از جمله پاداش های برنامه.

دستورالعمل های پرداخت جدید

این دستورالعمل‌ها برای تعیین میانگین حداکثر پرداخت برای یک دسته اشکال خاص و توصیف عوامل کاهش‌دهنده ما در تعیین پاداش در نظر گرفته شده‌اند تا به محققان کمک کند شکار خود را در اولویت قرار دهند. در نهایت، هر گزارش به صورت موردی ارزیابی می‌شود و در برخی موارد، بسته به تأثیر ارزیابی‌شده داخلی، ممکن است بالاتر از سقف تعیین شود.

نکات برجسته باگ

به روز رسانی دستورالعمل های پرداخت: ما دستورالعمل‌های پرداخت جدیدی را برای فناوری VR اضافه می‌کنیم، از جمله باگ‌های مخصوص Meta Quest Pro. ما جزو اولین برنامه‌های پاداش اشکال هستیم که دستورالعمل‌های پرداخت را برای دستگاه‌های واقعیت مجازی و واقعیت ترکیبی تنظیم کرده‌ایم و همچنان به‌روزرسانی و تنظیم را با پیشرفت صنعت ادامه خواهیم داد.

ما صدها گزارش اشکال تاثیرگذار را در سال 2022 از محققان در سراسر جهان دریافت کردیم که به امن‌تر کردن جامعه ما کمک کردند و بیش از 2 میلیون دلار جوایز جایزه پرداخت کردیم.

با پایان سال جاری، ما تعدادی به روز رسانی در مورد کار خود برای محافظت از مردم در سراسر جهان در برابر تهدیدات مختلف به اشتراک می گذاریم. به عنوان بخشی از این، ما برخی از به‌روزرسانی‌های برنامه پاداش باگ خود را در سال گذشته به اشتراک می‌گذاریم، نگاهی به نحوه کار با محققان خارجی برای کمک به ایمن کردن فناوری واقعیت مجازی (VR) و واقعیت مختلط، و دستورالعمل‌های پرداخت جدید با مبلغ جایزه تا 300000 دلار.

قرار دادن فناوری ما در دست محققان: از آنجایی که فضای پاداش باگ برای بسیاری نسبتاً جدید است، ما امسال تلاش کردیم تا فناوری سخت افزاری خود را برای جامعه محقق در دسترس تر کنیم تا بتوانند اشکالات را پیدا کرده و گزارش دهند. به عنوان مثال، ما فناوری واقعیت مجازی خود را برای کنفرانس سالانه BountyCon که تنها کنفرانس معمولی صنعت برای شکارچیان اشکال است، متمرکز کردیم. یکی از جلسات ما که بالاترین امتیاز را در کنفرانس امسال داشت، ارائه ای در مورد نحوه جستجوی اشکالات در هدست های واقعیت مجازی و عینک های هوشمند بود. در ادامه این جلسه، از محققان دعوت کردیم تا دستگاه‌های Meta Quest 2 را بررسی کنند و از آنها در طول رویداد هک زنده ما استفاده کنند.

2FA Bypass: ما همچنین اشکالی را که توسط Gtm Mänôz از نپال گزارش شده بود، برطرف کردیم، که می‌توانست به مهاجم اجازه دهد با استفاده از یک مشکل محدودکننده نرخ، از 2FA مبتنی بر پیامک دور بزند تا پین تأیید مورد نیاز برای تأیید شماره تلفن شخص را به زور انجام دهد. ما برای این گزارش 27200 دلار جایزه اعطا کردیم.

منبع

تصاحب حساب و زنجیره دور زدن احراز هویت دو مرحله ای: گزارشی از یااله عبدالله دریافت کردیم، که اشکالی را در جریان بازیابی حساب مبتنی بر شماره تلفن فیس‌بوک شناسایی کرد که می‌توانست به مهاجم اجازه دهد گذرواژه‌ها را بازنشانی کند و اگر حسابی توسط 2FA محافظت نمی‌شد، آن را تصاحب کند. ما این باگ را برطرف کردیم و هیچ مدرکی دال بر سوء استفاده پیدا نکردیم. ما به محقق بالاترین جایزه خود را 163000 دلار دادیم که نشان دهنده حداکثر تأثیر بالقوه و پاداش های برنامه است. در حالی که ما در حال بررسی بودیم، محقق توانست بر اساس یافته های قبلی آن را به یک باگ بای پس جداگانه 2FA زنجیره ای ایجاد کند. ما این مشکل را برطرف کرده‌ایم و به محقق 24700 دلار جایزه اضافی، شامل پاداش‌های برنامه، پاداش داده‌ایم.

این دستورالعمل‌های جدید تا 130000 دلار برای گزارش‌های ATO و 300000 دلار برای اشکالات RCE تلفن همراه متغیر است که برنامه Bug Bounty ما را به یکی از پردرآمدترین برنامه‌ها در صنعت تبدیل می‌کند.