O Facebook anunciou hoje que deu sua maior recompensa por achado de bug desde o início de seu programa de segurança, em 2011. A rede social revelou que o engenheiro de computação brasileiro Reginaldo Silva alertou a empresa sobre uma vulnerabilidade de entidades externas XML que, se não fosse controlada, poderia ter permitido a alguém ler “arquivos arbitrários” no servidor web da rede. Como resultado, o Facebook recompensou Reginaldo com US$ 33.500,00.
Em um post no Facebook, a empresa disse que recebeu um relatório de bug de Silva em novembro e que, ao verificar o problema, implementou uma solução que iria cuidar de uma parte da situação. Depois que o bug se foi, a equipe de engenharia teve que descobrir como distribuí-la a todos os servidores web do Facebook. Para realizar essa tarefa, a equipe utilizou uma ferramenta chamada Takedown, que ajudou a priorizar a linha de códigos necessários para reparar os danos.
Claro, todo o esforço até agora foi para corrigir o problema – agora o Facebook precisa investigar para entender o que deu errado e se havia outras partes do código que também eram ou são vulneráveis.
Antes do brasileiro, em junho, um pesquisador britânico recebeu US$ 20.000 pela descoberta de uma falha de segurança no Facebook e foi pago por meio do programa de recompensas, que foi criado como uma forma de permitir que hackers divulguem vulnerabilidades achadas na rede social para que os dados de usuários não sejam comprometidos.
Embora o Facebook tenha afirmado que o pagamento para Silva foi o seu maior até à data, não há realmente nenhuma recompensa máxima.
