Facebook | Bug Bounty

Facebook recompensa a los investigadores que ayudan a mantener la seguridad de las personas y que reportan vulnerabilidades en sus servicios. Sin embargo, queda a discreción de la compañía decidir si se otorga una recompensa monetaria por los reportes, según el riesgo, el impacto y otros factores.

Para cumplir con los requisitos para recibir una recompensa, debes reportar un error de seguridad de Facebook o de alguno de los siguientes productos o adquisiciones:

  • Instagram
  • Internet.org o Free Basics
  • Oculus
  • Onavo
  • Proyectos de código abierto de Facebook (por ejemplo, osquery)
  • WhatsApp

Los servicios que no son propiedad de Facebook, como Wordpress VIP y Page.ly, no entran dentro del programa de recompensas por reporte de errores.

Asimismo, las vulnerabilidades en aplicaciones o sitios web de terceros que se integran con Facebook (incluida la mayoría de las páginas en apps.facebook.com) generalmente no están dentro del alcance del programa de recompensas por reporte de errores.

Actualmente, la única excepción son los errores de seguridad que dejan expuestos los tokens de acceso del usuario de Facebook a entidades no autorizadas.

Aceptaremos reportes de dichas vulnerabilidades, pero solo si el error se detecta al ver de manera pasiva los datos que se envían a tu dispositivo o que provienen de él mientras utilizas la aplicación o el sitio web.

No puedes manipular ninguna solicitud enviada a la aplicación o el sitio web desde tu dispositivo o, de otro modo, interferir con el funcionamiento normal de la aplicación o del sitio web al enviar tu reporte. Por ejemplo, quedan estrictamente fuera del alcance del programa las vulnerabilidades relacionadas con SQLi, XSS, redireccionamiento abierto u omisión de permisos (como IDOR). Asimismo, no puedes acceder a los datos ni utilizar tokens de acceso de otra cuenta de Facebook que no sea la tuya. Por último, solo se encuentran dentro del alcance del programa las aplicaciones de terceros con al menos 50.000 usuarios activos.


Ejemplos específicos del alcance del programa

Si no sabes con seguridad si un servicio es compatible con el sistema de recompensas, pregúntanos. A continuación verás algunos ejemplos específicos de aplicaciones y sitios web que participan en el programa y otros que no, para ayudarte a guiar tu investigación.

Objetivo

Participantes

No participantes

Facebook

Sitios web: facebook.com, fb.com, fb.me, messenger.com, thefacebook.com y accountkit.com

Aplicaciones: administrador de anuncios, Facebook, Facebook Lite, Workplace de Facebook, Grupos, Hello, Mentions, Messenger, Moments, administrador de páginas, Paper (de Facebook), Work Chat

Sitios web: events.fb.com, fbsbx.com, investor.fb.com, media.fb.com, newsroom.fb.com, research.fb.com, search.fb.com, work.fb.com, research.fb.com, madebykorea.fb.com

Aplicaciones: Facebook para Blackberry, Facebook para Windows

Instagram

Sitios web: instagram.com

Aplicaciones: Boomerang, Hyperlapse, Instagram, Layout

Sitios web: blog.instagram.com

Internet.org

Sitios web: freebasics.com, internet.org

Aplicaciones: Free Basics

Oculus

Sitios web: oculus.com

Hardware: todo el hardware propio

Software: aplicaciones propias para computadoras y celulares

Sitios web: answers.oculus.com, forums.oculus.com, support.oculus.com

Onavo

Sitios web: onavo.com

Aplicaciones: Onavo Count, Onavo Extend, Onavo Protect

Sitios web: Sitios web: blog.onavo.com

Open Source

Repositorio de código: https://github.com/facebook/

Repositorio de código: https://github.com/facebookarchive/

WhatsApp

Sitios web: blog.whatsapp.com, translate.whatsapp.com, web.whatsapp.com, whatsapp.net, www.whatsapp.com

Aplicaciones: WhatsApp

Sitios web: alpha.whatsapp.com, media.whatsapp.com

Otras asociaciones y adquisiciones

Sitios web: daytum.com, drop.io, face.com, friendfeed.com, monoidics.com, opencompute.org, y spaceport.io


Fuera del alcance

  • Spam o técnicas de ingeniería social.
  • Ataques por denegación de servicio.
  • Inserción de contenido. La publicación de contenido es una de las funciones centrales de Facebook, de modo que la inserción de contenido (también denominada "suplantación de contenido" o "inserción de HTML") no reúne los requisitos para considerarse un error, a menos que puedas demostrar de forma clara que supone un riesgo considerable.
  • Problemas de seguridad en aplicaciones o sitios web de terceros que se integran con Facebook (incluida la mayoría de las páginas en apps.facebook.com), excepto en circunstancias específicas descritas en la sección "Alcance del programa de recompensas por reporte de errores".
  • Ejecución de scripts en dominios de espacio aislado, como fbrell.com o fbsbx.com. El uso de "alert(document.domain)" puede ayudar a verificar si el contexto es realmente *.facebook.com.

Falsos positivos

  • Redirecciones abiertas. Las redirecciones realizadas mediante nuestro sistema "linkshim" no son redirecciones abiertas (más información).
  • Fotos del perfil públicas. La foto de tu perfil siempre es pública, independientemente del tamaño o de la resolución.
  • Ten en cuenta que la información pública también incluye tu nombre de usuario, identificador, nombre, foto de portada actual, sexo y cualquier contenido que hayas compartido de forma pública (más información).
  • Envío de mensajes a cualquier usuario de Facebook (más información).
  • Acceso a fotos a través de URL de imágenes sin formato desde nuestra red de entrega de contenido (CDN). Uno de nuestros ingenieros publicó una explicación más detallada (enlace externo).
  • Contraseñas que no distinguen entre mayúsculas y minúsculas. Con el fin de evitar problemas al iniciar sesión, aceptamos contraseñas íntegramente en mayúsculas o con el primer carácter en mayúscula.
  • Falta atribución en las publicaciones de la página. Por lo general, mostramos los administradores de la página que crearon una publicación, pero no se trata de un control de seguridad.


Fuente: https://www.facebook.com/whitehat