Facebookは、自社の広告システムに不具合を発見した開発者に対して支払う報奨金の額を倍にした。報奨金の倍増は、セキュリティの脆弱性を報告するようホワイトハットハッカーたちを促すためだ。
Facebookはこれに先立って、自社でもセキュリティ監査を実施した。同社は監査で見つかった複数のセキュリティバグを修正したが、「見落とした可能性のあるものを、ホワイトハットの目でさらに精査していただきたい」としている。

ホワイトハット

「ハッカー」と聞くとまず浮かぶものは、コンピュータウィルスソフトの作成や流布、いま流行しているLINE乗っ取りなどのサイバー犯罪を起こす存在、正確には『クラッカー』『ブラックハット』と呼ばれている。

ホワイトハットはその逆で、ブラックハットに対抗するセキュリティエンジニアである。彼らは様々な企業で雇用されており、Facebookでもセキュリティやバグ不具合のチェックを日夜行っている部署はある。だが、自社のみでのチェックには限界がある。そこでFacebookは、自社に属していない第三者ユーザや団体に対して報奨金を倍にすることによって協力を強く依頼したのだ。

過去、Facebookに第三者ユーザから報告があったバグ

2013年、Facebook上に投稿された画像が、誰でも削除できてしまう不具合が発見され、報告された。不具合報告への賞金は500ドルからだが、この不具合報告への賞金は1万2500ドルだったという。

しかし一方で、残念な事例も──

同年パレスチナのユーザが他人のタイムラインに自由に投稿できる不具合を発見、報告したがFacebook側からは「バグではない」という返答が来たのを受け、ザッカーバーグのタイムラインに実際に投稿、不具合が発生していることを実証してみせた。この不具合は修正されたが、彼の行動は『バグを実証するために他人のアカウントを不正に利用した』という、Facebookのホワイトハットプログラム規約に違反したとして、賞金は支払われなかった。

iStock_000027734506_Large

せっかく不具合を見つけても、正規のルールに則った方法で報告しなければ、賞金を手にすることはできない。

Facebook不具合報告は誰でもできる

Facebookページ右上にから『問題を報告』を選択。『機能の問題』という項目があり、『問題を報告』から問題が何処で発生しており、具体的にどんな不具合が発生しているかの報告が送られるようになっている。不具合報告には、スクリーンショットの添付が可能であり、1万2500ドルの報奨金を獲得したユーザは実際に不具合が発生する過程の動画のURLが記載してあったという。

スクリーンショット 2014-10-20 19.13.35

すべての不具合報告への返信はできないとのことだが、より詳細な情報を必要とする場合は、Facebook側から報告したユーザに連絡をし、更に調査を行うとのこと。

報告した不具合は、サポートダッシュボードから確認ができる

これは、規定違反画像やユーザ、不具合の報告をしたユーザ本人のみが閲覧できるページで、報告したものに対してFacebookがどのように対応したかを確認することができる。報告した不具合のステータスが『解決済み』となっていれば、不具合が修正されたということになるわけだ。一番最初にその不具合を報告し、一般ユーザの安全を脅かすようなものであった場合、最低500ドルからの報奨金が支払われるかもしれない。

実際にヘルプページで、このようなエラーメッセージが表示された

スクリーンショット 2014-10-20 18.28.29

メッセージにある通りこちらはすでに対処中のものだが、こんなふうにFacebookにはまだまだ修正必要な箇所が存在している。もしかすると、普段通り利用していたところ致命的な不具合に遭遇した、ということはゼロではないかもしれない。
不具合に遭遇したときには、ぜひFacebookに報告を。

INFO:

Facebook
White Hat Program

Facebook
White Hat Program

https://www.facebook.com/whitehat