O Facebook vai pagar hackers que encontrarem problemas no site, contanto que eles informem a equipe da rede social antes.
A companhia está seguindo a onda da Google e da Mozilla lançando um programa web de “recompensas por bugs”. Para os problemas relacionados à segurança, como cross-site scripting, a empresa vai pagar uma quantia fixa de US$ 500. Se forem brechas realmente significativas, pagará mais, mas a quantia não foi informada.
“No passado, nós focávamos em reconhecimento, colocando o nome deles em nossa página, enviando itens promocionais e usando isso como uma avenida para entrevistas e processo de recrutamento”, disse Alex Rice, líder de produtos de segurança do Facebook. “Estamos ampliando isso agora para recompensas monetárias”.
Na sexta-feira, o Facebook vai lançar o recurso no portal Whitehat, em que pesquisadores podem se inscrever para o programa e reportar bugs.
Muitos hackers divulgam as falhas de software ou sites que encontram para ganhar prestígio. Encontrar um bug importante em um site amplamente acessado, como o Facebook, pode ajudar um hacker a construir uma carreira, e contar à imprensa sobre os bugs pode torná-lo(a) famoso.
Mas conversar sobre os problemas antes de o Facebook liberar um patch pode ser perigoso para os usuários. Nos últimos anos, outras companhias iniciaram programas de recompensa por bugs para encorajar hackers a ficarem em silêncio até que a empresa corrija os problemas.
A Google paga entre US$ 500 e US$ 3.133,70, dependendo a severidade da falha.
A gigante das buscas começou a oferecer as recompensas no começo de 2010, e então em novembro expandiu a iniciativa para cobrir bugs nas propriedades web também.
O programa ajudou a empresa a descobrir muitos problemas de programação nos últimos oito meses, a maior parte em programas da Google que são pouco usados, afirmou o porta-voz da empresa.
A Google vê o programa como um grande sucesso. “Estamos muito felizes com o sucesso que nossa iniciativa para diminuir a vulnerabilidade dos sites. Já pagamos US$30 000 e vimos uma variedade de bugs interessantes”, segundo o porta-voz.
A equipe de segurança do Facebook já participa de diálogos entre pesquisadores de segurança e os próprios programadores do site. A companhia recebe de 30 a 50 chamadas de hackers por semana. As informações levam a uma média de um a três bugs acionáveis por semana, afirmou Rice. A maior parte é de falsificação de cross-site scripting ou cross-site requests. São problemas comuns em programação web que podem ser explorados por cibercriminosos.
Os executivos da companhia disseram que manter um bom relacionamento com a comunidade hacker é muito importante. O Facebook patrocinou a conferência hacker Defcon pelos últimos dois anos e o chefe de segurança da rede social, Joe Sullivan, vê esse encontro como um local chave para recrutar novos talentos e educar funcionários de segurança.
