متا یه گزارش سالانه در خصوص عملکرد برنامه باگ بانتی اش در سال 2022 منتشر کرده ، که در این پست به برخی نکات این گزارش می پردازیم.
از سال 2011 تا الان متا 16 میلیون دلار بانتی به گزارشها پرداخت کرده.
از سال 2011 حدود 170 هزار گزارش دریافت کردن که بیش از 8500 موردش به بانتی ختم شده. (5 درصد)
در سال 2022 بیش از دو میلیون دلار به محققین از 45 کشور مختلف دنیا بانتی دادن.
در سال 2022 بیش از 10هزار گزارش دریافت کردن که 750 موردش به جایزه ختم شده. (7 درصد)
سه کشور هند و نپال و تونس ، بیشترین بانتی رو دریافت کردن.
در برنامه باگ بانتی جدیدشون پروژه ها و فناوریهای Metaverse و واقعیت مجازی رو هم اضافه کردن و پرداخت بانتی اونها رو هم بروز کردن.
مبلغ پرداختی برنامه هاشونم بروز کردن. مثلا برای ATO ، تا سقف 130 هزار دلار ، برای باگهای mobile RCE تا سقف 300 هزار دلار ، بانتی میدن.
باگها و بانتی های جالب :
در ادامه متا در خصوص برخی بانتی هایی که ارائه داده صحبت کرده.
در جریان کنفرانس BountyCon که یه کنفرانس برای باگ هانتراست ، از محققین خواستن تا دستگاه Meta Quest 2 رو بصورت زنده هک کنن. یکی از آسیب پذیری هایی که در این رویداد کشف شده ، توسط یه محقق بنام Youssef Sammouda بوده که یه مشکل oAuth در Meta Quest کشف کرده که منجر به تصاحب حساب با 2 کلیک میشد ، (two-click account takeover) . این آسیب پذیری رفع شده و موردی از سوء استفاده ازش پیدا نشد. متا برای این گزارش 44250 دلار بانتی داده.
یه گزارشی از Yaala Abdellah هم دریافت کردن که ،محقق یه باگ در بخش ریکاوری پسورد با شماره موبایل در فیسبوک پیدا کرده بوده. مهاجم با این آسیب پذیری میتونست پسورد بازیابی کنه و اگه 2FA براش فعال نبود ، اکانت تصاحب می کرد. این آسیب پذیری هم رفع و مدرکی دال بر سوء استفاده ازش پیدا نکردن. در مجموع 163هزار دلار بانتی براش دادن. وقتی متا روی این آسیب پذیری کار میکرده ، محقق تونسته یه باگ دیگه برای دور زدن 2FA پیدا کنه و متا 24700 دلار بیشتر بانتی داده.
یه گزارشی هم از Gtm Mänôz از نپال دریافت کردن. این باگ به دلیل نبود rate-limiting protection ، باعث میشه مهاجم بتونه با بورت فورس، verification pin که برای تایید شماره تلفن مورد نیازه رو در فرایند 2FA مبتنی بر موبایل ، دور بزنه. متا برای این گزارش 27,200 دلار بانتی داده. جزییات این آسیب پذیری رو میتونید اینجا مشاهده کنید.