- En 2024, nuestro software de recompensas de errores otorgó más de $ 2.3 millones en recompensas, lo que lleva nuestras recompensas totales desde la creación de nuestro software en 2011 a más de $ 20 millones.
- Como parte de nuestro Logística de defensa en profundidadcontinuamos colaborando con la comunidad de investigación de seguridad en las áreas de Genai, AR/VR, herramientas de anuncios y más.
- Incluso celebramos la investigación de seguridad realizada por nuestra comunidad de recompensas de errores como parte de nuestra cumbre anual de Bug Bounty y muchos otros eventos de la industria.
A medida que nos embarcamos en un año nuevo, estamos compartiendo varios actualizaciones En nuestro trabajo con investigadores de seguridad de recompensas de errores externos para ayudar a proteger nuestra comunidad y plataformas globales. Esto incluye nuevas estadísticas de cuota, detalles sobre lo que está en envergadura para los informes de errores relacionados con Genai y un breviario de algunos de nuestros compromisos durante todo el año pasado con investigadores de recompensas de errores.
Lo más destacado del software de remuneración de errores de Meta en 2024
En 2024, recibimos casi 10,000 informes de errores y pagamos más de $ 2.3 millones en premios Bounty a investigadores de todo el mundo que ayudaron a hacer que nuestras plataformas sean más seguras.
- Desde 2011, hemos pagado más de $ 20 millones en recompensas de errores.
- El año pasado, recibimos casi 10,000 informes y pagamos premios en casi 600 informes válidos.
- En 2024, otorgamos más de $ 2.3 millones a casi 200 investigadores de más de 45 países.
- Los tres principales países basados en recompensas otorgadas el año pasado son India, Nepal y Estados Unidos.
Involucrando a los investigadores en la caza de errores en Genai
Luego poner a disposición nuestras características generativas de IA para investigadores de seguridad A través de nuestro software de remuneración de errores de larga duración en 2023, Meta ha seguido lanzando nuevos productos y herramientas de Genai. En 2024, proporcionamos más detalles a nuestra comunidad de investigación en ¿Qué está en envergadura para los informes de recompensas de errores relacionados con nuestros modelos de idiomas grandes (LLM)?. Ahora damos la bienvenida a los informes que demuestran problemas integrales de privacidad o seguridad asociados con los LLM de Meta, incluso poder extraer datos de capacitación a través de tácticas como la inversión del maniquí o los ataques de cuna.
Ya hemos recibido varios informes impactantes centrados en nuestras herramientas de Genai, y Esperamos continuar este importante trabajo con nuestra comunidad de investigadores para ayudar a asegurar la seguridad y la integridad de nuestras herramientas Genai.
Fomentar la investigación de seguridad en los anuncios de audiencia y productos de hardware
Este año, priorizamos nuestros esfuerzos para dirigir la investigación de seguridad por parte de la comunidad de recompensas de errores en dirección a una serie de superficies de productos, que incluyen:
Herramientas de audiencia de anuncios diseñados para ayudar a las personas a nominar un conocido objetivo para sus anuncios: Presentamos nuevas pautas de cuota Para proporcionar transparencia a nuestros investigadores de seguridad sobre cómo evaluamos el impacto del noticia que recibimos por posibles errores de seguridad en Meta’s Herramientas de audiencia de anuncios. Cojamos el cuota mayor de la almohadilla para descubrir PII (nombre, correo electrónico, número de teléfono, estado, zip, categoría) para una audiencia de anuncios en $ 30,000 y luego aplicar cualquier deducción aplicable basada en la interacción del usufructuario requerida, los requisitos previos y cualquier otro factótum de mitigación a Llegue a la cantidad final de remuneración premiada. Más detalles aquí.
Productos de hardware de ingenuidad mixta: A medida que Meta continúa desplegándose productos de ingenuidad mixtaTrabajamos para alentar la investigación de seguridad sobre estos hardware y tecnologías impulsadas por la IA para ayudarnos a encontrar y solucionar posibles errores lo más rápido posible. En 2024, nuestros investigadores de recompensas de errores contribuyeron con informes sobre problemas potenciales en la búsqueda que podrían acontecer afectado la configuración de seguridad o conducir a la corrupción de la memoria. Incluso trajimos nuestra delegación 3 y las meta anteojos de Ray-Ban a Hardwear.io USA 2024una conferencia líder que reúne a los mejores piratas informáticos de hardware para probar nuevos productos de hardware y ayudar a descubrir posibles vulnerabilidades.
Construyendo y celebrando la comunidad mundial de recompensas de errores
Como parte de nuestro compromiso continuo con la investigación de seguridad, tanto internamente como fuera del meta, invertimos en permitir la colaboración abierta con nuestra comunidad de recompensas de errores por:
Organizar eventos comunitarios y presentar investigaciones conjuntas: Organizamos nuestra Conferencia Anual de Investigadores de Bounty de Meta Bug (MBBRC) en Johannesburgo, Sudáfrica, reuniendo a 60 de nuestros principales investigadores de todo el mundo. Recibimos más de 100 informes de errores y otorgamos más de $ 320,000 en total. Incluso co-presentamos conversaciones en Ekoparty, Def Con, Hardwear.io, PWN2own y otras cumbres de investigación de seguridad. Este año, nos complace compartir que 2025 MBBRC se alojará en Tokio, Japón del 12 al 15 de mayo. Estén atentos para más detalles en 2025.
Celebrando a los investigadores de mucho tiempo: Uno de nuestros investigadores más antiguos y prolíficos, Philippe Harewoodalcanzó un hito de 10 abriles con más de 500 informes válidos pagados por nuestro software de remuneración de errores. Las contribuciones notables a lo desprendido de los abriles incluyen la innovadora investigación de Philippe sobre Fuga del token de comunicación de Instagram, Video Capture Limit bypass en Ray-Ban Storiesy más.
Proporcionar bienes y actualizaciones oportunas para la comunidad de investigación: El Sitio web de Bounty de Meta Bug Sirve como un centro centralizado para todas las noticiero y actualizaciones de Bug Bounty. Los investigadores incluso pueden seguir el software en Instagram, Facebooky nudopara actualizaciones rápidas.
Mirando en dirección a el futuro
El equipo de Bug Bounty de Meta retraso presentar nuevas iniciativas y continuar relacionando con nuestra comunidad existente y nuevos investigadores que recién están comenzando. Por otra parte, continuaremos brindando a los expertos experimentados oportunidades únicas para probar características inéditas a través de nuestras pistas privadas de remuneración de errores.
Durante los últimos 14 abriles, nuestro software de recompensas de errores ha fomentado una relación colaborativa con investigadores externos que ha ayudado a suministrar nuestras plataformas más seguras y seguras. Nos gustaría extender un sincero agradecimiento a todos los que contribuyeron al crecimiento de nuestro software en 2024.