Facebook Security Bug Bounty

[tromfil]

To qualify for a bounty, you must:

Adhere to our Responsible Disclosure Policy:

... give us a reasonable time to respond to your report before making any information public and make a good faith effort to avoid privacy violations, destruction of data and interruption or degradation of our service during your research ...

Be the first person to responsibly disclose the bug

Report a bug that could compromise the integrity or privacy of Facebook user data, such as:

Cross-Site Scripting (XSS)

Cross-Site Request Forgery (CSRF/XSRF)

Remote Code Injection

Reside in a country not under any current U.S. Sanctions (e.g., North Korea, Libya, Cuba, etc.)

Our security team will assess each bug to determine if qualifies.

Rewards

A typical bounty is $500 USD

We may increase the reward for specific bugs

Only 1 bounty per security bug will be awarded

https://www.facebook.com/whitehat/bounty/

[tiodr]

pentru unii oameni (ca mine) daca ar gasesc o vulnerabilitate ar prefera sa o raporteze si sa ia minim 500 de dolari decat sa o tina si sa se uite la ea ca nu au habar sa profite de ea si sa scoata sa zicem 2.000 dolari

[symboss]

De cele mai multe ori,nu se mai ajunge la recompensarea baneasca.Am intilnit foarte putine cazuri,totusi daca as gasi vreon bug,as cauta cumparatori seriosi care ar vrea sa exploteze vulnerabilitatea ,daca nu gasesc,si vad ca nici eu nu prea am ce face cu ea,atunci ii anunt.Plus ca s-ar putea sa gaseasca altu acelasi bug,si oricum ii va anunta.

[ROFL]

pentru unii oameni (ca mine) daca ar gasesc o vulnerabilitate ar prefera sa o raporteze si sa ia minim 500 de dolari decat sa o tina si sa se uite la ea ca nu au habar sa profite de ea si sa scoata sa zicem 2.000 dolari

Le trimiti vulnerabilitatea, ei o rezolva si iti trimit raspuns ca a mai fost raportata sau nu iti raspund deloc. Deci raspunsul e NU.

[lns]

si cei de la yahoo au avut prin mai o asemenea "campanie" la bucuresti parca, insa ei au pus la dispozitie vulnerabilitati ca sa vada daca se pot exploata, insa toti cei care vroiau sa participe erau chemati la bucuresti si intr-un laborator de info le-au dat sansa de exploatare

LE: openhackeu2011.eventbrite.com/

[wildchild]

... give us a reasonable time to respond to your report before making any information public and make a good faith effort to avoid privacy violations, destruction of data and interruption or degradation of our service during your research ...

...you idiot!give us a reasonable time to patch the bug in order to show you the middle finger

[totti93]

De ce sa fiu White Hat? Am mai reportat vulnerabilitati la alte site-uri, dar s-au p*sat pe mine.. L-au rezolvat 1-2, fara sa-mi zica "Mersi"...

[XandZero]

Daca as avea o vulnerabitate si as putea sa scot mai mult de 500$ , nu as trimiteo

daca nu as putea scoate nimic , cu mare drag as trimiteo ..

Totti93 bine zici tu acolo , si eu am raportat la nush cate primarii , sti ce am primit ?

Urmatoarea zi fixata vulnerabitatea , nimica .

[GarryOne]

eu sa gasesc o vulnerabilitate si sa o raportez si sa-si bata asa joc de mine, intru in casa peste iei cu toporul.

[1749]

as trimite-o pe o suma acolo,altfel nu.

[GarryOne]

pe o suma ? ce siguranta ai tu ca aia iti dau banii, nu ai citit in posturile anterioare cum baietii si-au luat-o

[Stranger]

imi da banii, apoi le dau, daca nu, nu.

[poq]

Dai ma dracu,am raportat un XSS si ei pula.Ma asteptam macar la un multumesc din partea lor.

[symboss]

Anul trecut am gasit XSS activ pe Orange.md i-am anuntat,apoi am primit un mesaj "Sesizarea dvs. a fost receptionata,foarte curind o vom remedia",nici urma de recunostinta.Acel XSS,chiar ar fi valorat ceva.Cu 2 luni in urma am gasit SQLi la Banca de Economii(MD),i-am anuntat,si aceeasi situatie.

O problema cred ca ar fi ca mesajul nu ajunge la cine trebuie,ajunge la un angajat simplu de relatii cu clientii,ala zice la sefu' departamentului tehnologic,si ala nu zice mai sus,ca de problema data sint vinoveti tot ei.Si aici se opreste toata povestea.

Morola:Nu prea are sens sa-i anunti.

[Dragos]

Nu are rost sa raportati vulnerabilitatile. Gasisem si eu admin bypass la o librarie, i-am sunat si nici pana astazi nu mi-au raspuns si nici nu au reparat vulnerabilitatea.