Facebook 漏洞獎勵計劃、鼓勵用戶揪出系統漏洞

一直以來，很多大型的科技巨人包括 Google、微軟、Mozilla 等都有一個漏洞獎勵計劃，當用戶發現了重要或未知的漏洞後，有關用戶便可以獲得金錢上的獎勵。正所謂「有錢使得鬼推磨」，類似計劃一直以來成效不錯，當然亦有些用戶即使在發現重大漏洞後亦選擇不領取獎金。

今天 Facebook 亦推出類似的計劃，並透過 Facebook Security Page 公佈最新詳情，這計劃暫名為「bug bounty program」。用戶如果想藉由此計劃獲取獎金，則需要先符合 Facebook 的披露責任政策並必須是第一個報告有關的漏洞，當中參與此計劃的用戶亦必須不是來自受美國政府制裁的國家，例如是北韓、古巴等等，而最後值得一提的是所報告的漏洞必須備有完整的漏洞細節又或者是與 Facebook 用戶有關的私穩資料，Facebook 特別提到一些漏洞，例如是 XSS、CSRK/XSRF 及一些非法遠端植入代碼等。

而 Facebook 將會就每一個漏洞提供基本獎金，金額為 500 美元，不過亦會針對某些重大漏洞而提高金額。至於那些整合至 Facebook 內的第三方應用又或者是網站的漏洞並不會計算在內，而且 Facebook 的基建、DoS 攻擊/漏洞、垃圾郵件等漏洞亦不會計算在內。

網址 : http://www.facebook.com/whitehat/bounty/