Mintegy 5 millió dollárt fizetett ki az elmúlt 5 év során Mark Zuckerberg cége biztonsági kutatóknak, miután különböző sebezhető pontokat fedeztek fel a platformban. Ezeket szép csendben zárta/foltozta be a közösségi hálózatot üzemeltető vállalat, többségük anélkül tűnt el, hogy arról a felhasználók értesültek volna.

Mindez a Facebook bug-vadász programjának keretei között történt. A vállalat ugyanis tárt karokkal várja a sebezhetőségekről szóló beszámolókat, és amennyiben azokat más még nem jelentette, hajlandó fizetni is értük. Sokkal olcsóbb így felfedezni a hibákat, mintsem egy, a felhasználókat támadó kód formájában szembesülni azzal, hogy a programozók munkája ismét hagyott némi kívánnivalót maga után.

Joey Tyson IT-biztonsági mérnök szerint a fent említett összeg nagyjából 900 kutató között oszlott meg, az átlagos kifizetés pedig egészen pontosan 5 556 dollár volt (átszámítva másfél millió forint). Az idei első félévben összesen 149 kutatót jutalmaztak, ennek során közel 612 ezer dollárt utalt át a szakemberek számlájára a Facebook. Az egyik legnagyobb kifizetést a bangalore-i Anand Prakash kapta márciusban. Egy globális, felhasználók eltérítését lehetővé tevő lyuk jelentéséért cserébe jutott 15 ezer dollárhoz az indiai szakember.

Érdekes a programban részt vevők nemzetiség szerinti eloszlása. Míg IT-biztonsággal foglalkozó kutatóként az Egyesült Államokban egy egyszeri 4-5 ezer dollár nem számít olyan hatalmas pénznek (azért persze ott is lehajolnak érte), addig a világ más tájain akár több havi, fél évnyi fizetésnek is elmegy. Ennek tükrében már nem meglepő, hogy leginkább az indiaiak voltak aktívak; köztük és a mexikóiak közé ékelődnek be az USA-beli szakemberek.

Öt évnyi tapasztalat

„Elindítani és fenntartani egy ilyen programot, ekkora méretben, öt évig – egyáltalán nem könnyű feladat. Nem is tudtuk volna ezt véghez vinni a biztonsági kutatói közösség széleskörű támogatása nélkül.” – foglalta össze Tyson – „Öt évnyi tapasztalat segített bennünket programunk számos szempontból való finomhangolásában, mindkét fél örömére. Visszajelzések szerint a kutatók is elégedettek jutalmazásukkal, mi pedig gyorsan javíthatjuk a felbukkant biztonsági réseket.”

Nem csupán magára a szigorúan vett közösségi hálózatra terjed ki a program, hanem a Facebook birtokában levő egyéb termékekre is, például az olyan szolgáltatásokra, mint az üzenetküldésre használható WhatsApp. És nem csak dollárban fizetnek: igény szerint Zuckerberg cége Bitcoinban is honorálja a kutatók erőfeszítéseit.

Bevett gyakorlat

Fizetett hackerekkel akarja feltárni informatikai és kommunikációs rendszerének a gyengéit az Uber, azaz sok cég, köztük Facebook, Yahoo! vagy a Google után ők is bevezetik az ún. "bug bounties" gyakorlatát, írtunk róla még márciusban. A táborhoz aztán augusztusban csatlakozott az Apple is, bár ők sokáig húzódtak „vérdíjat” fizetni. Volt ugyan egy meghívásos rendszerű gyakorlatuk, de abba csak azok a kutatók tudtak bekerülni, akik már adtak az Apple-nek fontos sérülékenységekről információkat. A teljes nyitásnak ugyanis szerintük nem volt értelme, mert a feketepiac és a kormányzati szervek amúgy is túllicitálják a vállalatokat.

Ebben végül igaza lett az almás cégnek. Az Exodus Intelligence alig pár nappal az Apple bejelentése után azzal állt a nyilvánosság elé, hogy akár több mint a dupláját, bizonyos feltételek esetén félmillió dollárt is hajlandó kifizetni egy, az iOS 9.3-ban (vagy annál újabb mobil operációs rendszerben) talált, korábban ismeretlen biztonsági résről szóló információért.