- 2024 m. Mūsų „Bugl Bounty“ programa skyrė daugiau nei 2,3 mln. USD vertės, todėl mūsų programos sukūrimas 2011 m. Iki daugiau nei 20 mln. USD.
- Kaip mūsų dalis Gynybos giliai strategijaMes toliau bendradarbiavome su saugumo tyrimų bendruomene genų, AR/VR, ADS įrankių ir dar daugiau srityse.
- Mes taip pat šventėme saugumo tyrimus, kuriuos atliko mūsų „Bugnty Bounty“ bendruomenė, kaip metinio „Bounty Bounty“ viršūnių susitikimo ir daugelio kitų pramonės renginių dalis.
Pradėdami naujus metus, mes dalijamės keliais atnaujinimai Mūsų darbas su išorinių klaidų saugumo tyrinėtojais, siekiant padėti apsaugoti mūsų pasaulinę bendruomenę ir platformas. Tai apima naują išmokėjimo statistiką, išsamią informaciją apie tai, kas yra su genai susijusių pranešimų apie klaidas, ir kai kurių mūsų sužadėtuvių pernai su „Bug Bounty“ tyrėjais aprašymas.
Svarbiausi „Meta Bug Bounty“ programos įvykiai 2024 m.
2024 m. Gavome beveik 10 000 pranešimų apie klaidas ir sumokėjome daugiau nei 2,3 mln. USD „Bounty“ apdovanojimų tyrėjams visame pasaulyje, kurie padėjo mūsų platformoms saugiau.
- Nuo 2011 m. Mes išmokėjome daugiau nei 20 milijonų dolerių klaidų.
- Praėjusiais metais mes gavome beveik 10 000 ataskaitų ir sumokėjome apdovanojimus už beveik 600 galiojančių ataskaitų.
- 2024 m. Beveik 200 tyrėjų iš daugiau nei 45 šalių skyrėme daugiau nei 2,3 mln. USD.
- Trys geriausios šalys, paremtos praėjusiais metais, yra Indija, Nepalas ir JAV.
Tyrėjų įtraukimas į klaidų medžioklę genuose
Po Saugumo tyrinėtojams prieinamų mūsų generatyvinių AI funkcijų Per mūsų ilgalaikę „Bug Bounty“ programą 2023 m. „Meta“ ir toliau ruošė naujus „Genai“ produktus ir įrankius. 2024 m. Mes pateikėme daugiau informacijos savo tyrimų bendruomenei Kas yra „Bug Bounty“ ataskaitų, susijusių su mūsų didelėmis kalbos modeliais (LLM), taikymo sritis. Dabar laukiame pranešimų, kurie parodo neatsiejamus privatumo ar saugumo problemas, susijusias su META LLM, įskaitant galimybę išgauti mokymo duomenis per taktiką, pavyzdžiui, modelio inversijos ar gavybos atakos.
Mes jau gavome keletą įspūdingų ataskaitų, orientuotų į mūsų genų įrankius ir Mes tikimės tęsti šį svarbų darbą su savo tyrėjų bendruomene, kad padėtume užtikrinti mūsų „Genai“ įrankių saugumą ir vientisumą.
Saugumo tyrimų skatinimas skelbimų auditorijos ir aparatinės įrangos produktuose
Šiais metais mes prioritetą teikėme savo pastangoms nukreipti „Bug Bounty“ bendruomenės saugumo tyrimus, susijusius su daugybe produktų paviršių, įskaitant:
Skelbimų auditorijos įrankiai, skirti padėti žmonėms pasirinkti tikslinę auditoriją savo skelbimams: Mes pristatėme naujas išmokėjimo gaires Norėdami suteikti skaidrumą savo saugumo tyrėjams, kaip įvertiname ataskaitos, kurią gauname, poveikį dėl galimų meta saugumo klaidų Skelbimų auditorijos įrankiai. ADS auditorijai už 30 000 USD užfiksuojame maksimalų bazinį išmoką už PII (vardas, el. Paštas, telefono numeris, būsena, ZIP, lytis) ir tada taikome bet kokius taikomus atskaitymus, atsižvelgiant į reikiamą vartotojo sąveiką, išankstinę sąlygą ir kitus sušvelninimo veiksnius Atvykite į galutinę apdovanotą „Bounty“ sumą. Daugiau informacijos čia.
Mišrios realybės aparatinės įrangos produktai: Kadangi meta ir toliau kaupia įvairius realybės produktus, mes stengiamės skatinti šių aparatūros ir AI pagrįstų technologijų saugumo tyrimus, kad padėtume mums kuo greičiau rasti ir ištaisyti galimas klaidas. 2024 m. Mūsų klaidų palaimos tyrinėtojai pateikė ataskaitas apie galimas užduotis, kurios galėjo paveikti saugos parametrus ar sukelti atminties sugadinimą. Mes taip pat atnešėme savo „Quest 3“ ir „Ray-Ban Meta“ akinius Hardwear.io USA 2024pirmaujanti konferencija, kurioje suburta geriausi aparatūros įsilaužėliai, siekiant išbandyti naujus aparatūros produktus ir padėti atskleisti galimas pažeidžiamumus.
Pasaulinės klaidų palaimos bendruomenės kūrimas ir šventimas
Kaip nuolatinio įsipareigojimo saugumo tyrimams – tiek viduje, tiek išorėje – dalis – mes investavome į galimybę atvirą bendradarbiavimą su mūsų klaidų palaimos bendruomene::
Bendruomenės renginių organizavimas ir bendri tyrimų pristatymas: Mes surengėme savo kasmetinę „Meta Bug Bounty“ tyrėjų konferenciją (MBBRC) Johanesburge, Pietų Afrikoje, surinkdami 60 geriausių mūsų tyrėjų iš viso pasaulio. Gavome daugiau nei 100 pranešimų apie klaidas ir iš viso apdovanojome daugiau nei 320 000 USD. Mes taip pat kartu pateikėme derybas „Ekoparty“, „DEF CON“, „Hardwear.io“, „Pwn2own“ ir kituose saugumo tyrimų viršūnių susitikimuose. Šiais metais mes džiaugiamės galėdami pasidalyti, kad 2025 m. MBBRC bus surengtas Tokijuje, Japonijoje, gegužės 12-15 dienomis. Stebėkite daugiau informacijos 2025 m.
Švęsdami ilgamečius tyrėjus: Vienas iš mūsų ilgalaikiausių ir produktyviausių tyrėjų, Philippe Harewoodpasiekė 10 metų etapą su daugiau nei 500 galiojančių pranešimų, kuriuos išmokė mūsų klaidų palaimos programa. Pažymėtini įnašai per daugelį metų apima „Philippe“ novatoriškus tyrimus apie „Instagram“ prieigos rakto nutekėjimasAr Vaizdo įrašų fiksavimo limitas aplinkkelio „Ray-Ban“ istorijoseir daugiau.
Tyrimų bendruomenės išteklių ir savalaikių atnaujinimų teikimas: „Meta Bug Bounty“ svetainė yra centralizuotas visų klaidų naujienų ir atnaujinimų centras. Tyrėjai taip pat gali sekti programą „Instagram“, „Facebook“ ir X, kad galėtų greitai atnaujinti.
Žvilgsnis į priekį
„Meta Bug Bounty“ komanda tikisi pristatyti naujas iniciatyvas ir toliau bendrauti su mūsų esama bendruomene ir naujais tyrėjais, kurie tik pradeda dirbti. Be to, mes ir toliau teiksime patyrusiems ekspertams unikalias galimybes išbandyti neišleistas funkcijas per mūsų privačių klaidų palaimos takelius.
Per pastaruosius 14 metų mūsų „Bug Bounty“ programa puoselėjo bendradarbiavimo ryšius su išorės tyrėjais, kurie padėjo mūsų platformoms saugiau ir saugiau išlaikyti. Mes norėtume nuoširdžiai padėkoti visiems, kurie prisidėjo prie mūsų programos augimo 2024 m.
