Facebook, Dưới Sự Kiểm Tra, Trả Thưởng Lỗi An Ninh Lớn Nhất Cho Đến Nay

Buzz

Ngày cập nhật gần nhất: 15/4/2026

Nội dung bài viết

Nhiều điều tuyệt vời từ Mytour

Xem thêm

Đọc tóm tắt

- Năm nay, Facebook đối mặt với nhiều thách thức về quyền riêng tư và an ninh, bao gồm vụ lạm dụng dữ liệu từ Cambridge Analytica và vi phạm dữ liệu ảnh hưởng đến 30 triệu tài khoản.
- Tuy nhiên, điểm sáng của Facebook là chương trình bug bounty, được triển khai từ năm 2011, đã trả hơn 7,5 triệu đô la cho các nhà nghiên cứu bảo mật.
- Năm 2018, Facebook mở rộng chương trình để bao gồm cả lạm dụng dữ liệu và các ứng dụng bên thứ ba, dẫn đến việc phát hiện nhiều lỗ hổng và cải thiện an ninh.
- Dù có những cải tiến này, việc xây dựng lại niềm tin của người dùng vẫn là thách thức lớn nhất.

Năm nay không phải là năm tự hào nhất của Facebook về quyền riêng tư và an ninh. Công ty đã đối mặt với vụ lạm dụng và lạm dụng dữ liệu khổng lồ từ Cambridge Analytica vào tháng 4 và sau đó. Nó cũng tiết lộ vụ vi phạm dữ liệu đầu tiên của mình vào tháng 10, ảnh hưởng đến thông tin từ 30 triệu tài khoản. Nhưng Facebook ít nhất cũng có một điểm sáng tập trung vào an ninh nó có thể trưng bày trong năm 2018: chương trình bug bounty của nó.

Bug bounties là chương trình cho phép các nhà nghiên cứu an ninh gửi các lỗ hổng và lỗ hổng tiềm ẩn trong phần mềm của một công ty. Bất kỳ ai cũng có thể gửi một báo cáo và, có thể, nhận được thưởng để giúp khóa chặt hệ thống của một công ty. Chào đón báo cáo lỗi đã là một thực hành gây tranh cãi trong nhiều thập kỷ, nhưng chương trình của Facebook, ra mắt vào năm 2011, là một trong những chương trình lâu dài và chín chắn nhất trong ngành công nghiệp. Bug bounty đã trả hơn 7,5 triệu đô la theo thời gian, bao gồm 1,1 triệu đô la trong năm 2018. Và năm nay, Facebook cũng trả thưởng lớn nhất từ trước đến nay, 50,000 đô la, cho một trong những người đóng góp hàng đầu của mình.

Lỗi mà đã kiếm được khoản tiền lớn này nằm trong cơ chế đăng ký của Facebook cho các thông báo về một số loại hoạt động của người dùng. Hãy tưởng tượng nó như là RSS cho dữ liệu được tạo ra trên Facebook. Người nghiên cứu đã phát hiện ra rằng trong một số tình huống nhất định, một nhà phát triển, hoặc kẻ tấn công, có thể đã kiểm soát được các đăng ký để nhận các cập nhật không được ủy quyền về một số hành động và người dùng cụ thể. Ví dụ, một nhà phát triển lừa đảo có thể đã nhận các cập nhật đều đặn về người nào đã thích hoặc bình luận trên một bài đăng cụ thể.

Báo cáo này đạt được mức thưởng cao nhất của Facebook vì đã dẫn đến việc phát hiện ra một loạt các rủi ro tiềm ẩn có thể đã bị lạm dụng. Trong số 17,000 báo cáo mà công ty nhận được trong năm 2018, có 700 báo cáo nhận thưởng, với giải thưởng trung bình khoảng 1,500 đô la.

"Không phải là điều hiếm gặp khi chúng tôi nhận được báo cáo về lỗ hổng cao hoặc quan trọng từ các nhà nghiên cứu," nói Dan Gurfinkel, quản lý kỹ thuật an ninh của Facebook. "Sự kiện an ninh tháng 9 liên quan đến một trường hợp của ba lỗ hổng khác nhau tương tác với nhau. Ngoài những bài học khác, nó đã nhắc nhở rằng quan trọng là chúng ta cần có nhiều đôi mắt nhất có thể để đánh giá và kiểm thử mã nguồn của chúng tôi. Chương trình thưởng lỗi là một phần quan trọng của công việc này, và đó là lý do tại sao chúng tôi tiếp tục phát triển cách mới để thu hút các nhà nghiên cứu."

Do những phát hiện từ vụ Cambridge Analytica, vào tháng 4, Facebook đã mở rộng phạm vi của chương trình thưởng lỗi của mình để bao gồm "lạm dụng dữ liệu," tình huống mà các nhà phát triển ứng dụng bên thứ ba của Facebook lạm dụng dữ liệu khách hàng mà họ có quyền truy cập. Công ty cũng bắt đầu chấp nhận báo cáo lỗi về các ứng dụng của bên thứ ba, hoạt động như một loại liên lạc cho các lỗ hổng mà mạng xã hội không thể sửa trực tiếp, nhưng ảnh hưởng đến người dùng của nó. Cả hai mở rộng này đều thêm vào sự tinh tế quan trọng và là những lĩnh vực mà hầu hết các công ty khác vẫn chưa giải quyết được trong chương trình thưởng lỗi của họ. Facebook nói rằng chỉ trong vài tháng, họ đã nhận được nhiều báo cáo chất lượng cao về những thách thức mới này.

"Họ cố gắng tìm kiếm một cái gì đó khó phát hiện bằng cách kỹ thuật," nói Katie Moussouris, một chuyên gia thưởng lỗi và người sáng lập công ty Luta Security. "Nếu một bên thứ ba được ủy quyền để có được dữ liệu Facebook theo điều khoản dịch vụ và sau đó lạm dụng điều khoản dịch vụ, điều đó rất khó phát hiện."

Luta Security đã hợp tác với Facebook để làm rõ mở rộng lạm dụng dữ liệu, đặt ra một sự phân biệt tinh subtile. Facebook muốn làm rõ rằng những nhà nghiên cứu không nên vi phạm dữ liệu người dùng trong quá trình tìm kiếm vấn đề, nhưng họ nên gửi báo cáo lạm dụng dữ liệu phức tạp hơn mỗi khi có thể ghi chép những tương tác phức tạp này một cách an toàn.

Đạt được sự cân bằng này khó khăn hơn nhìn chung, theo Alex Rice, Giám đốc Công nghệ của tổ chức phát triển thưởng lỗi bug bounty HackerOne. Rice đã hợp tác với chương trình thưởng lỗi của Facebook khi nó ra mắt vào năm 2011 và nói rằng anh ấy đã ấn tượng khi thấy nó mở rộng để chấp nhận báo cáo về quyền riêng tư và bên thứ ba trong năm nay. "Chương trình thưởng lỗi lạm dụng dữ liệu là sáng tạo," Rice nói. "Nó được thiết kế để bao phủ một điểm mù trong nhiều nhà cung cấp công nghệ lớn, nhưng đó là một vấn đề khó khăn. HackerOne có hai khách hàng đang triển khai các chương trình tương tự dựa trên sự thành công của chương trình thưởng lỗi lạm dụng dữ liệu của Facebook."

Những cải tiến cho chương trình thưởng lỗi của Facebook hy vọng sẽ mang lại cho cộng đồng an ninh, hoặc bất kỳ ai khác, một con đường mở rộng để nói lên về các vấn đề quyền riêng tư và lo ngại họ gặp trên nền tảng. Và ở quy mô lớn như vậy, Facebook chắc chắn sẽ gặp vấn đề và lạm dụng dữ liệu đôi khi - một sự thật mà công ty dường như không thực sự hiểu rõ cho đến năm nay. Nhưng mặc dù thưởng lỗi là một công cụ quan trọng, nó chắc chắn không giải quyết tất cả những thách thức về an ninh và quyền riêng tư của một công ty.

"Là người ủng hộ lớn của thưởng lỗi, thậm chí tôi cũng nghĩ chúng ta không thể dừng lại ở đó, chúng ta vẫn cần phải làm nhiều hơn nữa," Rice nói. "Ai đặt chương trình thưởng lỗi là viên đạn bạc hoặc trình bày tổ chức của họ như là không thể xâm phạm là tự đánh lừa chính họ và làm lừa dối công chúng."

Dù có nhiều cải tiến tích cực về an ninh đã xuất phát từ năm náo loạn của Facebook, công việc khó khăn nhất phía trước cho công ty có lẽ không phải là sửa lỗi, mà là xây dựng lại niềm tin của người dùng.

Nhiều điều tuyệt vời từ Mytour

Mọi thứ bạn muốn biết về lời hứa của 5G
9 nhân vật ở thế giới Trump nên sợ Mueller nhất
Đĩa Blu-ray trở lại để chứng minh rằng streaming không phải là tất cả
Một đột phá của Intel tái suy nghĩ cách làm chip
Một máy phát hiện nói dối bằng cách quét mắt đang tạo nên một tương lai kinh hoàng
👀 Đang tìm kiếm các thiết bị công nghệ mới nhất? Kiểm tra các lựa chọn của chúng tôi, hướng dẫn mua sắm quà tặng và các ưu đãi tốt nhất trong suốt cả năm
📩 Nhận thêm thông tin nội bộ của chúng tôi với bản tin hàng tuần Backchannel của chúng tôi

Các câu hỏi thường gặp

Chương trình bug bounty của Facebook hoạt động như thế nào và nó có ý nghĩa gì?

Chương trình bug bounty của Facebook cho phép các nhà nghiên cứu an ninh báo cáo lỗ hổng phần mềm. Đây là một cách khuyến khích việc tìm kiếm và khắc phục lỗi, nhằm tăng cường an ninh hệ thống.

Facebook đã xử lý các vấn đề lạm dụng dữ liệu như thế nào trong năm 2018?

Sau vụ Cambridge Analytica, Facebook đã mở rộng chương trình thưởng lỗi để bao gồm cả việc báo cáo lạm dụng dữ liệu bởi các nhà phát triển ứng dụng bên thứ ba, giúp tăng cường tính bảo mật cho người dùng.

Sự phát hiện nào đã mang lại phần thưởng cao nhất trong chương trình bug bounty của Facebook?

Một nghiên cứu viên đã phát hiện lỗ hổng trong cơ chế đăng ký thông báo, cho phép kẻ tấn công nhận thông tin không được ủy quyền, và đã được trao phần thưởng lớn nhất trị giá 50.000 đô la.

Các báo cáo nào được xem là có chất lượng cao trong chương trình thưởng lỗi của Facebook?

Các báo cáo có chất lượng cao thường liên quan đến các lỗ hổng nghiêm trọng hoặc khó phát hiện, giúp Facebook cải thiện tính bảo mật của nền tảng và bảo vệ người dùng tốt hơn.

Liệu chương trình thưởng lỗi có thể giải quyết hoàn toàn các vấn đề về an ninh và quyền riêng tư không?

Không, chương trình thưởng lỗi là một công cụ quan trọng nhưng không thể giải quyết tất cả các vấn đề về an ninh và quyền riêng tư mà Facebook phải đối mặt.

Facebook đã trả tổng cộng bao nhiêu tiền thưởng trong năm 2018 cho chương trình bug bounty?

Trong năm 2018, Facebook đã trả tổng cộng 1,1 triệu đô la cho các nhà nghiên cứu an ninh thông qua chương trình bug bounty, với nhiều báo cáo nhận thưởng có giá trị.

Nội dung từ Mytour nhằm chăm sóc khách hàng và khuyến khích du lịch, chúng tôi không chịu trách nhiệm và không áp dụng cho mục đích khác.

Nếu bài viết sai sót hoặc không phù hợp, vui lòng liên hệ qua Zalo: 0978812412 hoặc Email: [email protected]