Facebook ha anunciado un cambio de política que hará que la empresa notifique a los desarrolladores externos si encuentra una vulnerabilidad de seguridad en su código.
En una publicación de blog que anuncia el cambio, Facebook dijo que “ocasionalmente puede encontrar” errores críticos y vulnerabilidades en el código y los sistemas de terceros. “Cuando eso suceda, nuestra prioridad es que estos problemas se solucionen rápidamente, mientras nos aseguramos de que las personas afectadas estén informadas para que puedan protegerse mediante la implementación de un parche o la actualización de sus sistemas”.
Facebook ha notificado previamente a los desarrolladores externos sobre las vulnerabilidades, pero el cambio de política codifica formalmente la política de la compañía para revelar y revelar vulnerabilidades de seguridad.
Los programas de divulgación de vulnerabilidades, o VDP, permiten a las empresas establecer las reglas de participación para encontrar y divulgar errores de seguridad. Los VDP también ayudan a guiar la divulgación y publicación de vulnerabilidades una vez que se corrige un error. Las empresas a menudo utilizan una recompensa por errores para pagar a los piratas informáticos que siguen las reglas de información y divulgación de la empresa.
El cambio de política no es del todo altruista. Facebook, como muchas otras empresas de tecnología, se basa en una tonelada de código de terceros y bibliotecas de código abierto. Pero al poner el cambio por escrito, también avisa a los desarrolladores de terceros si no solucionan las vulnerabilidades de manera oportuna.
Casey Ellis, fundador y director de tecnología de la plataforma de divulgación de vulnerabilidades Bugcrowd, dijo que el cambio de política se estaba volviendo cada vez más popular para las empresas con una “gran superficie de ataque de terceros centrada en el usuario”, y se hace eco de esfuerzos similares de Atlassian, Google y Microsoft. .
Facebook dijo que cuando encuentre una vulnerabilidad, dará a los desarrolladores externos 21 días para responder y 90 días para solucionar los problemas, un plazo ampliamente aceptado para informar y remediar problemas de seguridad. La compañía dice que hará un esfuerzo razonable para encontrar el contacto adecuado para informar una vulnerabilidad, que incluye, entre otros, el envío de correos electrónicos con informes de seguridad, la presentación de errores sin detalles confidenciales en los rastreadores de errores o la presentación de tickets de soporte. Pero la compañía dijo que se reserva el derecho de divulgar antes si la vulnerabilidad está siendo explotada activamente por piratas informáticos, o retrasar su divulgación si se acuerda que se necesita más tiempo para solucionar un problema.
Facebook dijo que generalmente no firmará un acuerdo de no divulgación (NDA) específico para los problemas de seguridad que informa.
Katie Moussouris, fundadora de Luta Security, le dijo a TechCrunch que “el diablo estará en los detalles”.
“La prueba será la primera vez que tengan que apretar el gatillo y soltar un día cero, con orientación de mitigación, en un competidor”, dijo, refiriéndose a las vulnerabilidades sin parches donde las empresas tienen cero días para parchearlas.
La nueva política se centra específicamente en cómo Facebook maneja la divulgación de problemas en código de terceros. Si los investigadores encuentran una vulnerabilidad de seguridad en Facebook, o dentro de su familia de aplicaciones, continuarán informándola a través del Programa Bug Bounty existente.
Como parte del cambio de política, Facebook dijo que también revelaría las vulnerabilidades una vez que se corrijan. En una publicación de blog separada, Facebook, propietario de WhatsApp, reveló seis vulnerabilidades en la aplicación de mensajería, desde que se corrigió.
Source link