Le récent scandale Cambridge Analytica a secoué Facebook, incitant l'entreprise à examiner de plus près où aboutissent ses masses de données utilisateur et comment elles sont utilisées.
Dans le cadre de ces efforts, le géant des réseaux sociaux a annoncé cette semaine qu'il étendait son programme de primes aux bogues pour inclure des applications et des sites Web tiers qui permettent aux gens d'utiliser leurs comptes Facebook pour se connecter.
La société dit qu'elle se concentre sur les jetons d'accès qui sont générés de manière unique pour l'utilisateur et l'application spécifiques lors de la connexion.
«L'utilisateur décide à quelles informations le jeton et l'application peuvent accéder ainsi que les actions qui peuvent être entreprises… [mais] un jeton peut potentiellement être mal utilisé», a expliqué Dan Gurfinkel, responsable de l'ingénierie de la sécurité de Facebook, dans un article annonçant le programme étendu.
Gurfinkel a déclaré qu'il paierait au moins 500 dollars à quiconque détecte des vulnérabilités qui impliquent «une exposition inappropriée des jetons d'accès des utilisateurs de Facebook». Plus le problème est grave, plus le montant que Facebook paiera sera élevé, même s'il ne fait aucune mention d'un plafond.
Il a ajouté que Facebook utilise le programme dans le but de créer un canal clair permettant aux gens de signaler tout problème qu'ils rencontrent, «et nous voulons faire notre part pour protéger les informations des gens, même si la source d'un bogue n'est pas dans notre contrôle direct. »
Une fois qu'un problème a été confirmé par les propres chercheurs de Facebook, il contactera le développeur de l'application ou du site Web pour l'aider à corriger son code, et ils seront suspendus de la plate-forme jusqu'à ce que le problème soit résolu.
"Nous révoquerons également automatiquement les jetons d'accès qui auraient pu être compromis pour empêcher une utilisation abusive potentielle, et alerterons ceux que nous pensons être affectés", a déclaré Gurfinkel.
Le responsable de l'ingénierie de sécurité a souligné que Facebook n'acceptera les rapports que «si le bogue est découvert en visualisant passivement les données envoyées vers ou depuis votre appareil lors de l'utilisation de l'application ou du site Web vulnérable». En d'autres termes, les chercheurs ne sont pas autorisés à "manipuler toute demande envoyée à l'application ou au site Web à partir de votre appareil, ou à interférer d'une autre manière avec le fonctionnement normal de l'application ou du site Web en relation avec la soumission de votre rapport."
Si une faille est signalée par deux personnes travaillant indépendamment l'une de l'autre, le paiement va à la personne qui soumet le rapport en premier. Et si le chercheur se sent généreux et souhaite faire don de la prime à une association caritative, Facebook doublera la valeur du don.
L'expansion de son programme de bug bounty intervient quatre mois après que Facebook a lancé le programme Data Abuse Bounty, une autre conséquence du scandale dommageable de Cambridge Analytica dans lequel une application tierce a aidé à collecter les données de 87 millions d'utilisateurs de Facebook à des fins politiques, ce qui a conduit à de grandes questions sur la manière dont l'entreprise de réseautage social traitait les données des utilisateurs.
Le programme Data Abuse Bounty récompense les utilisateurs qui découvrent et signalent toute application ou service connecté à Facebook qui utilise des données à mauvais escient, en particulier lorsqu'une application de la plate-forme Facebook collecte et transfère les données des personnes à une autre partie pour les vendre, les voler ou les utiliser à des fins d'escroquerie ou influence », a déclaré la société.
Facebook a décrit son programme de prime d'abus de données comme une première dans l'industrie.