Anda Temukan Celah Facebook? Laporkan! Anda Bisa Dapat Hadiah Lho
Sumber : Lihat Disini
(Terakhir diperbarui 12 September 2018)
(Terakhir diperbarui 12 September 2018)
Jika Anda meyakini bahwa Anda menemukan adanya risiko keamanan di Facebook (atau anggota lainnya dari perusahaan-perusahaan keluarga Facebook), kami mengimbau Anda untuk segera memberitahu kami. Kami akan menyelidiki semua laporan dan melakukan langkah terbaik untuk memperbaiki masalah secepatnya. Namun sebelum Anda melaporkan, harap tinjau halaman ini yang memuat kebijakan pengungkapan yang bertanggung jawab, pedoman penghargaan, dan hal-hal yang tidak boleh dilaporkan.
Jika Anda ingin melaporkan jenis masalah lainnya, harap gunakan tautan di bawah untuk membantu.
- Jika akun Anda atau akun teman Anda mengirimkan tautan yang mencurigakan: https://www.facebook.com/help/hacked
- Untuk melaporkan penyalahgunaan: https://www.facebook.com/help/reportlinks
- Untuk pertanyaan atau saran lainnya, harap kunjungi Pusat Bantuan kami: https://www.facebook.com/help
- Untuk pembaruan program dan berita dari tim Bug Bounty kami, harap Sukai halaman Facebook kami: https://www.facebook.com/bugbounty
Kebijakan Pengungkapan yang Bertanggung Jawab
Jika Anda mematuhi kebijakan berikut saat melaporkan masalah keamanan di Facebook, maka kami tidak akan melakukan investigasi hukum atau melaporkan Anda kepada aparat penegak hukum terkait dengan laporan yang Anda buat. Kami meminta agar:
- Anda memberi kami waktu yang cukup untuk menginvestigasi dan melakukan mitigasi masalah yang Anda laporkan sebelum mempublikasikan segala informasi tentang laporan atau membagikan informasi tersebut dengan orang lain.
- Anda tidak berinteraksi dengan akun individu (termasuk mengubah atau mengakses data dari akun tersebut) jika pemilik akun belum menyetujui untuk melakukan tindakan tersebut.
- Anda melakukan iktikad baik untuk menghindari pelanggaran privasi dan mengganggu orang lain, termasuk (namun tidak terbatas pada) akses ilegal atau perusakan data dan interupsi atau degradasi layanan kami.
- Anda tidak mengeksploitasi masalah keamanan yang Anda temukan dengan alasan apa pun. (Ini termasuk menunjukkan risiko tambahan, seperti upaya mengganggu data sensitif perusahaan atau menjajaki masalah lainnya.)
- Anda tidak sengaja melanggar undang-undang atau regulasi yang berlaku lainnya, termasuk (tetapi tidak terbatas pada) undang-undang dan regulasi yang melarang akses data ilegal.
- Demi maksud dari kebijakan ini, Anda tidak diizinkan mengakses data pengguna atau data perusahaan, termasuk (tetapi tidak terbatas pada) informasi pengidentifikasi pribadi dan data yang berkaitan dengan orang wajar yang teridentifikasi atau dapat teridentifikasi.
Ketentuan Program Bug Bounty
Kami menghargai dan memberikan hadiah kepada para peneliti keamanan yang membantu kami menjaga keamanan pengguna dengan cara melaporkan kerentanan yang ada di layanan kami. Besar hadiah uang tunai untuk jenis laporan tertentu disesuaikan dengan kebijakan Facebook berdasarkan risiko, dampak, dan faktor lainnya. Agar Anda memenuhi syarat untuk menerima hadiah, Anda harus memenuhi persyaratan berikut ini:
- Mematuhi Kebijakan Pengungkapan yang Bertanggung Jawab (lihat di atas).
- Melaporkan bug keamanan: yaitu mengidentifikasi kerentanan layanan atau infrastruktur kami yang menimbulkan risiko keamanan atau privasi. (Harap diingat bahwa Facebook yang akan menentukan risiko dari sebuah masalah, dan bahwa banyak bug perangkat lunak bukan merupakan masalah keamanan.)
- Laporan Anda harus menjelaskan masalah yang berkaitan dengan salah satu produk atau layanan yang tercantum di “Lingkup Program Bug Bounty” (lihat di bawah ini).
- Kami secara khusus mengecualikan jenis-jenis masalah keamanan potensial tertentu; yang tercantum di “Laporan yang Tidak Memenuhi Syarat dan Terbukti Palsu” (lihat di bawah).
- Kirimkan laporan Anda dengan menggunakan formulir “Melaporkan Kerentanan Keamanan” kami (satu masalah per laporan) dan tanggapi laporan dengan pembaruan. Jangan menghubungi karyawan secara langsung atau melalui perantara untuk membicarakan tentang laporan.
- Jika Anda secara tidak sengaja menyebabkan pelanggaran privasi atau gangguan (seperti mengakses data akun, konfigurasi layanan, atau informasi rahasia lainnya) saat menyelidiki masalah, maka Anda harus menyertakan hal tersebut di laporan Anda.
- Gunakan akun uji saat menyelidiki masalah. Jika Anda tidak dapat mereproduksi terjadinya masalah tersebut dengan akun uji, maka Anda dapat menggunakan akun asli (kecuali untuk pengujian otomatis). Jangan berinteraksi dengan akun lain tanpa izin (mis: jangan melakukan pengujian terhadap akun Mark Zuckerberg).
Sebaliknya, kami akan mengikuti pedoman berikut saat mengevaluasi laporan dalam program bug bounty kami:
- Kami meneliti dan menanggapi seluruh laporan yang valid. Sehubungan dengan banyaknya laporan yang kami terima, kami akan memprioritaskan evaluasi berdasarkan risiko dan faktor-faktor lainnya, dan proses ini memerlukan waktu sebelum Anda menerima balasan.
- Kami memutuskan jumlah hadiah berdasarkan atas beberapa faktor, termasuk (namun tidak terbatas pada) dampak, kemudahan eksploitasi, dan kualitas laporan. Jumlah minimal hadiah yang kami berikan adalah sebesar $500. Harap diingat bahwa masalah dengan risiko sangat rendah tidak memenuhi syarat untuk menerima hadiah.
- Kami memberikan hadiah dengan jumlah yang sama untuk masalah yang serupa, namun jumlah hadiah dan masalah yang memenuhi syarat dapat berubah dari waktu ke waktu. Hadiah yang telah kami berikan di masa lalu tidak menjamin hasil yang sama pada masa mendatang.
- Jika terdapat laporan yang sama dalam jumlah banyak, kami akan memberikan hadiah kepada orang pertama yang mengirimkan laporan. (Facebook memutuskan laporan mana saja yang merupakan laporan duplikat, dan Facebook tidak membagikan detail laporan yang lain.) Hadiah yang diberikan hanya diberikan kepada perorangan.
- Anda dapat menyumbangkan hadiah tersebut kepada badan amal yang telah diakui (dengan persetujuan Facebook), dan kami akan menggandakan jumlah hadiahnya jika disumbangkan dengan cara ini.
- Kami memiliki hak untuk menerbitkan laporan (dan pembaruannya).
- Kami menerbitkan daftar peneliti yang sudah mengajukan laporan keamanan yang valid. Anda harus pernah menerima hadiah agar memenuhi syarat untuk masuk ke dalam daftar ini, namun partisipasi Anda bersifat opsional. Kami memiliki hak untuk membatasi atau mengubah informasi yang tercantum di dalam daftar atas nama Anda.
- Kami memverifikasi bahwa semua pemberian hadiah sesuai dengan hukum yang berlaku, termasuk (namun tidak terbatas pada) sanksi perdagangan dan larangan ekonomi AS.
Dari waktu ke waktu, Facebook dapat menawarkan promosi yang berkaitan dengan Program Bug Bounty. Laporan yang dikirimkan sesuai dengan ketentuan tersebut dapat dikenakan peraturan pengatur tambahan untuk promosi itu sebagaimana dijelaskan dalam peraturan tersebut, yang disediakan atau akan disediakan di sini dan dimasukkan ke dalam ketentuan tersebut melalui referensi ini: https://www.facebook.com/whitehat/promotion/.
Mohon dicatat bahwa penggunaan Anda atas layanan-layanan Facebook dan layanan-layanan yang berasal dari anggota lain dari perusahaan-perusahaan keluarga Facebook, termasuk untuk tujuan dari program ini, tunduk pada Ketentuan dan KebijakanFacebook dan ketentuan dan kebijakan dari anggota lain perusahaan-perusahaan keluarga Facebook yang layanannya Anda gunakan. Kami (dan anggota perusahaan-perusahaan keluarga Facebook yang menjadi subjek dalam laporan Anda) diperbolehkan untuk tetap dapat melakukan komunikasi seputar masalah keamanan yang Anda laporkan selama kami anggap perlu demi tujuan program, dan kami boleh membatalkan atau memodifikasi program ini kapan saja.
Lingkup Program Bug Bounty
Agar memenuhi syarat untuk menerima hadiah, laporkan bug keamanan di Facebook atau salah satu produk atau akuisisi yang sudah memenuhi kualifikasi berikut:
- Instagram
- Internet.org / Free Basics
- Oculus
- Onavo
- Proyek sumber terbuka yang dilakukan oleh Facebook (mis: osquery)
- WhatsApp
Harap diingat bahwa layanan yang tidak dimiliki oleh Facebook (mis: WordPress VIP dan Page.ly) tidak memenuhi syarat untuk mengikuti program bug bounty kami. Meskipun kami sangat memperhatikan kerentanan yang berdampak terhadap layanan yang kami gunakan, kami tidak dapat menjamin bahwa kebijakan pengungkapan juga berlaku untuk layanan dari perusahaan-perusahaan lainnya.
Perhatikan juga bahwa kerentanan yang ditemukan dalam aplikasi atau situs web pihak ketiga yang terintegrasi dengan Facebook (termasuk sebagian besar halaman di apps.facebook.com) umumnya tidak termasuk dalam lingkup program bug bounty kami. Saat ini, pengecualiannya hanyalah untuk bug keamanan yang timbul akibat entitas yang tidak sah mengakses token akses pengguna Facebook. Kami akan menerima laporan kerentanan seperti itu, namun hanya jika bug itu ditemukan dengan menampilkan secara pasif data yang dikirim ke atau dari perangkat Anda saat menggunakan aplikasi atau situs web tersebut. Anda tidak diperbolehkan memanipulasi permintaan yang dikirimkan ke aplikasi atau situs web dari perangkat Anda, atau jika tidak, mengganggu fungsi normal aplikasi atau situs web tersebut berkaitan dengan penyerahan laporan Anda. (Misalnya, kerentanan SQLi, XSS, open redirect, atau permission-bypass (contohnya IDOR) sangat di luar lingkup.) Selanjutnya, Anda tidak dapat mengakses data atau menggunakan token akses dari akun Facebook selain akun Anda sendiri. Terakhir, hanya aplikasi pihak ketiga dengan sedikitnya 50.000 pengguna aktif yang termasuk di dalam lingkup.
Contoh Spesifik Lingkup Program
Jika Anda tidak yakin apakah sebuah layanan memenuhi syarat untuk menerima hadiah atau tidak, jangan ragu untuk menanyakannya kepada kami. Berikut adalah beberapa contoh spesifik aplikasi dan situs web yang memenuhi syarat dan tidak memenuhi syarat untuk memandu Anda dalam melakukan penelitian.
Target | Memenuhi syarat | Tidak memenuhi syarat |
---|---|---|
Situs web: facebook.com, fb.com, fb.me, messenger.com, thefacebook.com, accountkit.com
Aplikasi: Pengelola Iklan, Facebook, Facebook Lite, Workplace oleh Facebook, Grup, Hello, Mentions, Messenger, Moments, Pengelola Halaman, Paper (dari Facebook), Work Chat
| Situs web: events.fb.com, fbsbx.com, investor.fb.com, media.fb.com, newsroom.fb.com, research.fb.com, search.fb.com, work.fb.com, research.fb.com, madebykorea.fb.com
Aplikasi: Facebook untuk Blackberry, Facebook untuk Windows
| |
Situs web: instagram.com
Aplikasi: Boomerang, Hyperlapse, Instagram, Layout
| Situs web: blog.instagram.com | |
Internet.org | Situs web: freebasics.com, internet.org
Aplikasi: Free Basics
| |
Oculus | Situs web: oculus.com
Perangkat keras: Semua perangkat keras pihak pertama
Perangkat lunak: Aplikasi PC dan seluler pihak pertama
| Situs web: answers.oculus.com, forums.oculus.com, support.oculus.com |
Onavo | Situs web: onavo.com
Aplikasi: Onavo Count, Onavo Extend, Onavo Protect
| Situs web: Situs web: blog.onavo.com |
Sumber Terbuka | Repositori kode: https://github.com/facebook/ | Repositori kode: https://github.com/facebookarchive/ |
Situs web: blog.whatsapp.com, translate.whatsapp.com, web.whatsapp.com, whatsapp.net, www.whatsapp.com
Aplikasi: WhatsApp
| Situs web: alpha.whatsapp.com, media.whatsapp.com | |
Kemitraan/Akuisisi Lainnya | Situs web: daytum.com, drop.io, face.com, friendfeed.com, monoidics.com, opencompute.org, dan spaceport.io |
Di luar Lingkup
- Spam atau teknik rekayasa sosial.
- Serangan denial-of-service.
- Injeksi konten. Memposting konten di Facebook adalah fitur inti, dan injeksi konten (juga disebut "spoofing konten" atau "injeksi HTML") tidak memenuhi syarat, kecuali jika Anda dapat menunjukkan risiko yang signifikan secara jelas.
- Masalah keamanan di dalam aplikasi atau situs web pihak ketiga yang terintegrasi dengan Facebook (termasuk sebagian besar halaman di apps.facebook.com), kecuali dalam keadaan khusus yang dijelaskan dalam “Lingkup Program Bug Bounty” (lihat di atas).
- Menjalankan skrip di domain uji coba (seperti fbrell.com atau fbsbx.com). Menggunakan peringatan (document.domain) dapat membantu memverifikasi jika konteks adalah *.facebook.com yang sebenarnya.
Terbukti Palsu
- Open redirect. Pengalihan situs yang menggunakan sistem "linkshim" kami bukan merupakan open redirect (pelajari selengkapnya).
- Foto profil tersedia secara publik. Foto profil Anda saat ini selalu terlihat oleh publik (berapa pun ukuran atau resolusinya).
- Harap diingat bahwa informasi publik juga meliputi nama pengguna, ID, nama, foto sampul, jenis kelamin, dan segala sesuatu yang Anda bagikan secara publik (pelajari selengkapnya).
- Mengirimkan pesan ke semua orang di Facebook (pelajari selengkapnya).
- Mengakses foto melalui URL gambar mentah dari CDN (Content Delivery Network) kami. Salah satu teknisi kami telah membuat postingan yang menjelaskan lebih detail (tautan eksternal).
- Kata sandi peka huruf besar-kecil. Kami menerima versi kata sandi "caps lock" atau dengan karakter pertama berhuruf besar untuk menghindari masalah masuk.
- Atribusi yang hilang pada postingan halaman. Secara umum, kami menampilkan admin halaman yang mengelola postingan yang dibuat, namun hal ini bukanlah sebuah bentuk kontrol keamanan.