Facebook、バグ発見報奨金を倍増

　Facebookは、自社の広告システムに不具合を発見した開発者に対して支払う報奨金の額を倍にした。

　報奨金の倍増は、セキュリティの脆弱性を報告するようホワイトハットハッカーたちを促すためだ。Facebookはこれに先立って、自社でもセキュリティ監査を実施した。同社は監査で見つかった複数のセキュリティバグを修正したが、「見落とした可能性のあるものを、ホワイトハットの目でさらに精査していただきたい」としている。

　監査で見つかった不具合としては、有効期限なしで同じ広告クーポンを何回も利用できるバグ、Page IDを推測することでAds Create Flowを介して公開されていないページの名称を取得できるバグ、広告のレポートメールにJavaScriptを埋め込こんでクロスサイトリクエストフォージェリ（CSRF）が実行できるバグなどがある。CSRFが仕掛けられたメールを受け取った被害者は、犯人の代わりに悪意ある電子メールを送信させられてしまう。

　Facebookでセキュリティエンジニアを務めるCollin Greene氏はブログ投稿で、報奨金の倍増は2014年末までだと述べている。

　「われわれがホワイトハットコミュニティーと協力して解決にあたっているバグレポートの大半は、Facebookのコードの中でも一般的な部分に関するものが多いので、広告を利用している企業の保護を強化するため、セキュリティ研究者には広告の外から見える部分をもっと知ってもらいたいと願っている」（Greene氏）

　現在までで、およそ300万ドルがバグを発見した報奨金として支払われている。