Facebook ha anunciado un cambio de política que hará que la empresa notifique a los desarrolladores externos si encuentra una vulnerabilidad de seguridad en su código.
En una publicación de blog que anunciaba el cambio, Facebook dijo que “ocasionalmente puede encontrar” errores críticos y vulnerabilidades en códigos y sistemas de terceros. “Cuando eso suceda, nuestra prioridad es ver que estos problemas se solucionen de inmediato, mientras nos aseguramos de que las personas afectadas estén informadas para que puedan protegerse implementando un parche o actualizando sus sistemas”.
Facebook ha notificado previamente a los desarrolladores externos sobre las vulnerabilidades, pero el cambio de política codifica formalmente la política de la empresa para divulgar y revelar las vulnerabilidades de seguridad.
Los programas de divulgación de vulnerabilidades, o VDP, permiten a las empresas establecer las reglas de participación para encontrar y divulgar errores de seguridad. Los VDP también ayudan a guiar la divulgación y publicación de vulnerabilidades una vez que se soluciona un error. Las empresas a menudo usan una recompensa por errores para pagar a los piratas informáticos que siguen las reglas de divulgación e informes de la empresa.
El cambio de política no es del todo altruista. Facebook, como muchas otras empresas de tecnología, se basa en una tonelada de código de terceros y bibliotecas de código abierto. Pero al poner el cambio por escrito, también advierte a los desarrolladores externos si no solucionan las vulnerabilidades de manera oportuna.
Casey Ellis, fundador y director de tecnología de la plataforma de divulgación de vulnerabilidades Bugcrowd, dijo que el cambio de política se estaba volviendo cada vez más popular para las empresas con una “gran superficie de ataque de terceros centrada en el usuario”, y se hace eco de esfuerzos similares de Atlassian, Google y Microsoft. .
Facebook dijo cuando encuentra una vulnerabilidad, dará a los desarrolladores externos 21 días para responder y 90 días para solucionar los problemas, un plazo ampliamente aceptado para informar y solucionar problemas de seguridad. La compañía dice que hará un esfuerzo razonable para encontrar el contacto adecuado para informar una vulnerabilidad, lo que incluye, entre otros, el envío de correos electrónicos de informes de seguridad, la presentación de errores sin detalles confidenciales en los rastreadores de errores o la presentación de tickets de soporte. Pero la compañía dijo que se reserva el derecho de divulgar antes si los piratas informáticos están explotando activamente la vulnerabilidad, o retrasar su divulgación si se acuerda que se necesita más tiempo para solucionar un problema.
Facebook dijo que generalmente no firmará un acuerdo de confidencialidad (NDA) específico para los problemas de seguridad que informa.
Katie Moussouris, fundadora de Luta Security, le dijo a TechCrunch que “el diablo estará en los detalles”.
“La prueba será la primera vez que tengan que apretar el gatillo y lanzar un día cero, con orientación de mitigación, sobre un competidor”, dijo, refiriéndose a las vulnerabilidades sin parchear donde las empresas tienen cero días para parchearlas.
La nueva política se centra específicamente en cómo Facebook maneja la divulgación de problemas en el código de terceros. Si los investigadores encuentran una vulnerabilidad de seguridad en Facebook, o dentro de su familia de aplicaciones, continuarán informándolo a través del sistema existente. Programa de recompensas por errores.
Como parte del cambio de política, Facebook dijo que también revelaría las vulnerabilidades una vez que se solucionen. En una publicación de blog separada, Facebook, propietario de WhatsApp, reveló seis vulnerabilidades en la aplicación de mensajería, desde que se solucionaron.
Source link