【優待外援】Facebook改革賞金制式 愈遲確認派錢愈多
要搵出應用服務的網絡安全漏洞,有時好難全部依賴員工,Bounty 賞金計劃某程度上就令公司獲得大批有經驗的外援。Facebook 作為一間擁有自家賞金計劃的公司,近日為免因內部調查舉報漏洞的時間過長,引起賞金獵人不滿,重新改善賞金制度,調查時愈長,賞金將會愈多,等得耐都抵啦!
Bounty Hunter 賞金獵人是發掘漏洞的好幫手,而且事實亦證明,最熟悉自家應用服務漏洞的人,往往不是自己的員工。以 Apple iOS 為例,揭發得最多嚴重漏洞的人竟然來自 Google 的 Project Zero 安全團隊,而 Apple 亦於去年十月成功將這個最佳 iOS hacker Brandon Azad 收歸旗下,由此可見,賞金計劃不單有助堵塞漏洞,更可為公司物色理想人選。
社交平台龍頭 Facebook 在多年前已推出自家的賞金計劃,可舉報的漏洞不限於 Facebook 應用服務,更可舉報於平台上存在的第三方應用程式及遊戲,例如如第三方應用程式有可能洩露 Facebook 用家登入帳戶資料,同樣可獲得賞金。如賞金獵人發現平台存在漏洞,可導致用家的帳戶被搶奪,更可獲得四萬美元賞金。直至去年, Facebook 更推出 Hacker Plus 計劃,形式類似飛行里數獎賞計劃,只要賞金獵人持續舉辦 Facebook 漏洞,將可獲得額外的獎賞,有效吸引高手繼續效力。
而在今次的賞金計劃改革中,Facebook 方面就特別針對等候期作出改善。以往賞金獵人在舉辦漏洞後,必須待 Facebook 完成調查及確認漏洞,才會獲得賞金;不過,Facebook 承認由於調查需時,為免趕走賞金獵人轉向其他可較快獲得賞金的公司,Facebook 便推出隨時間遞增賞金的 Payout Time Bonus,在確認賞金獵人遞交充足漏洞資料後,如 Facebook 的調查時間超過 30 日而又在 59 日之間,賞金將會額外提升 5%,第 60 至 89 日則可獲 7.5% 提升,超過 90 日賞金就會加多一成。相信在新計劃下,賞金獵人可能寧願 Facebook 慢慢調查,不會再催促他們確認漏洞。
