Fin septembre, Facebook a révélé avoir été la victime d'une faille de sécurité qui a été exploitée dans le cadre d'une attaque avec le vol de jetons d'accès (tokens) à des comptes. Quelque 30 millions de comptes ont été affectés. A priori, les attaquants étaient des spammeurs.
Pour 29 millions de ces comptes, les tokens volés ont effectivement servi à l'accès à des informations personnelles. En l'occurrence, le nom et informations de contact (email, numéro de téléphone) pour 15 millions, et davantage de détails sur les profils pour 14 millions.
Cette semaine, Facebook a annoncé une augmentation de certaines récompenses pour son programme de Bug Bounty. " Notre objectif est de veiller à ce que des vulnérabilités, comme celle qui nous a été révélée en septembre, nous soient signalées de la manière la plus responsable et la plus opportune possible. "
Pour la découverte et le signalement de vulnérabilités permettant des fuites de jetons d'accès ou la possibilité d'accéder à des sessions valides d'utilisateurs, ce sera 40 000 $ si une interaction de l'utilisateur (pour une exploitation) n'est pas requise, et 25 000 $ s'il y a un minimum d'interaction.
Cela vaut pour tous les produits de Facebook, y compris Instagram, WhatsApp et Oculus. Par ailleurs, l'aspect technique pour être éligible au programme de Bug Bounty est revu à la baisse. Plutôt que de récompense pécuniaire, Facebook préfère y voir " une forte motivation " pour le temps consacré à la recherche de failles.