近日,Meta 宣布更新漏洞赏金计划,新增 Meta Quest Pro 和 Meta Quest Touch Pro 控制器的漏洞赏金计划资格。
Meta 正在为 VR 技术添加新的支付指南,包括特定于 Meta Quest Pro 的错误。Meta 在推文中强调“我们是首批为 VR 和混合现实设备设置漏洞赏金计划的公司之一,我们将随着行业的发展不断更新和调整。”
图源:Meta
为了让大家更加关注 VR 技术,更容易找到漏洞,Meta 表示他们正在努力让社区中的研究人员更容易使用他们的硬件技术,以便他们能够发现漏洞。
例如,Meta 将 VR 技术作为年度 BountyCon 会议的焦点,该会议是业界唯一的漏洞猎手定期会议。在今年的会议上,Meta 关注度最高的会议之一是关于如何在 Meta 的 VR 设备和智能眼镜中寻找错误的演示。在这次会议之后,Meta 邀请研究人员探索 Meta Quest 2 设备并在现场黑客活动中使用它们。
作为会议的一部分,Meta 奖励了研究员 Youssef Sammouda 提交的一个错误,他报告了 Meta Quest 的 oAuth 流程中的一个问题,该问题可能导致 2 次单击帐户接管。Meta 已经解决了该问题,通过调查没有发现滥用的证据,并为此报告奖励了总计 44,250 美元。
领导 Meta 漏洞赏金计划的安全工程师 Neta Oren 表示,最新的变化是公司努力的一部分,以确保 Meta 提供的漏洞赏金和该计划涵盖的产品与不断变化的威胁保持一致,他说道:“每年,我们都会继续学习有关如何最好地与社区互动的新知识,并调整我们的计划以解决不断发展的空间中一些最具影响力的领域。我们的计划已经从 2011 年仅涵盖 Facebook 的网页发展到现在涵盖我们应用程序系列中的所有 Web 和移动客户端,包括 Instagram、WhatsApp、Oculus、Workplace 等。”
图源:darkreading
自 Meta 于 2011 年推出漏洞赏金计划以来,该公司已收到来自全球漏洞猎手的超过 170,000 份报告。该公司确定其中 8,500 多份报告是有效的漏洞披露,并为此支付了总计 1600 万美元的奖励。
今年到目前为止,Meta 已收到来自 45 个国家/地区的研究人员的大约 10,000 份报告,并为大约 750 个已确定的漏洞发放了总计超过 200 万美元的奖金。截至目前,印度、尼泊尔和突尼斯在悬赏金额最多的国家/地区中名列前茅。
来源:Meta、darkreading