Formed in 2009, the Archive Team (not to be confused with the archive.org Archive-It Team) is a rogue archivist collective dedicated to saving copies of rapidly dying or deleted websites for the sake of history and digital heritage. The group is 100% composed of volunteers and interested parties, and has expanded into a large amount of related projects for saving online and digital history.
Informacje
Informacje
(Ostatnia aktualizacja: 11 października 2016 r.)
Jeżeli uważasz, że znalazłeś(aś) błąd w zabezpieczeniach na Facebooku (lub u innego członka grupy spółek Facebooka), zachęcamy do natychmiastowego powiadomienia nas o tym. Sprawdzimy każde uzasadnione zgłoszenie i dołożymy wszelkich starań, by szybko rozwiązać problem. Jednak zanim zgłosisz nam coś, przejrzyj tę stronę pod kątem naszych zasad odpowiedzialnego ujawniania informacji, wytycznych dotyczących nagród oraz rzeczy, których nie należy zgłaszać.
Jeśli chcesz zgłosić inny problem, skorzystaj z poniższych linków.
- Jeśli Twoje konto lub konto znajomego rozsyła podejrzane linki: https://www.facebook.com/help/hacked
- Zgłaszanie naruszeń: https://www.facebook.com/help/reportlinks
- W przypadku innych pytań lub wątpliwości odwiedź nasze Centrum pomocy: https://www.facebook.com/help
- Aby mieć dostęp do aktualizacji i informacji publikowanych przez zespół programu Nagrody za ujawnienie błędu, polub naszą stronę na Facebooku: https://www.facebook.com/bugbounty
Zasady odpowiedzialnego ujawniania informacji
Jeżeli przy zgłaszaniu problemu dotyczącego zabezpieczeń postępujesz zgodnie z poniższymi zasadami, w odpowiedzi na wniosek nie zainicjujemy powództwa ani postępowania organów ścigania przeciwko Tobie. Jak postępować po przesłaniu zgłoszenia:
- Dać nam odpowiednią ilość czasu na zbadanie sprawy i złagodzenie skutków zgłoszonego problemu przed upublicznieniem informacji na temat wniosku lub udostępnieniem danych innym.
- Nie prowadzić działań na koncie osobistym (dotyczy to m.in. modyfikacji danych i uzyskiwania do nich dostępu z konta), jeśli właściciel tego konta nie wyraził na to zgody.
- Dołożyć w dobrej wierze starań, by unikać naruszania prywatności innych osób i powodowania zakłóceń, w tym (lecz nie wyłącznie) niszczenia danych, przerwania lub pogorszenia naszych usług.
- Nie wykorzystywać wykrytego problemu dotyczącego zabezpieczeń niezależnie od powodu. (Dotyczy to również wskazania dodatkowego ryzyka, np. próby naruszenia poufnych danych firmy lub badania innych problemów).
- Nie łamać żadnych innych obowiązujących przepisów prawa.
Warunki programu Nagrody za ujawnienie błędu
Nagradzamy specjalistów ds. zabezpieczeń, którzy pomagają zapewnić bezpieczeństwo użytkowników, zgłaszając luki w naszych usługach. Nagrody pieniężne za zgłoszenia są w pełni uzależnione od decyzji Facebooka w powiązaniu z czynnikami zewnętrznymi, ryzykiem itp. Nagrodę może otrzymać osoba spełniająca poniższe wymagania:
- Przestrzeganie zasad odpowiedzialnego ujawniania informacji (zob. powyżej).
- Zgłaszanie błędów dotyczących zabezpieczeń, tzn. rozpoznawanie luk w naszych usługach i infrastrukturze stwarzających zagrożenie dla bezpieczeństwa i prywatności. (Należy pamiętać, że to Facebook ostatecznie określa ryzyko wystąpienia problemu, i że wiele błędów oprogramowania nie stanowi zagrożenia dla bezpieczeństwa).
- Wniosek musi opisywać problem dotyczący produktu lub usługi z listy „Zakres programu Nagrody za ujawnienie błędu” (zob. poniżej).
- Szczególnemu wyłączeniu podlegają niektóre typy potencjalnych problemów związanych z bezpieczeństwem. Są one wymienione w sekcji „Zgłoszenia niespełniające wymogów i fałszywie dodatnie” (zob. poniżej).
- Prześlij zgłoszenie za pośrednictwem formularza „Zgłaszanie błędów dotyczących zabezpieczeń” (w jednym zgłoszeniu jeden problem) i uzupełniaj je o ewentualne aktualizacje. Nie omawiaj zgłoszenia bezpośrednio z pracownikami ani za pośrednictwem innych kanałów.
- Jeśli w trakcie rozpatrywania sprawy nieumyślnie spowodujesz naruszenie prywatności lub zakłócenie (np. dostępu do danych konta, konfiguracji usługi czy innych poufnych informacji), uwzględnij to w zgłoszeniu.
- Analizując problem, korzystaj z kont testowych. Jeżeli nie możesz odtworzyć błędu za pomocą konta testowego, możesz użyć prawdziwego konta (nie dotyczy testowania automatycznego). Nie korzystaj z innych kont bez zgody ich właścicieli (np. nie przeprowadzaj testu na koncie Marka Zuckerberga).
Rozpatrując zgłoszenia objęte zakresem programu nagradzania za ujawnianie błędów, przestrzegamy następujących zasad:
- Analizujemy wszystkie poprawne zgłoszenia i udzielamy na nie odpowiedzi. Ze względu na liczbę otrzymywanych zgłoszeń, nadajemy im priorytet na podstawie oceny ryzyka i innych czynników, co może nieco opóźnić odpowiedź.
- Kwotę nagrody określamy na podstawie różnych czynników, m.in. wagi i jakości wniosku oraz stopnia łatwości jego wykorzystania. Minimalna wysokość nagrody wynosi 500 USD. Zgłoszenia problemów o wyjątkowo niskim stopniu ryzyka mogą nie zostać zakwalifikowane do nagrody.
- Dążymy do ujednolicenia kwot wypłacanych za zgłaszanie podobnych problemów, jednak kwoty nagrody i kryteria jej przyznawania mogą się zmieniać. Przyznanie nagrody nie jest gwarancją otrzymania podobnej nagrody w przyszłości.
- W przypadku powielonych wniosków nagroda przyznawana jest osobie, która prześle zgłoszenie jako pierwsza. (Facebook ustala, które zgłoszenie zostało powielone i nie udostępnia informacji na temat innych wniosków). Nagroda jest wypłacana tylko jednej osobie.
- Nagrodę można przekazać na rzecz uznanej organizacji dobroczynnej (z zastrzeżeniem uzyskania zgody serwisu Facebook). W takiej sytuacji podwoimy kwotę nagrody.
- Zastrzegamy sobie prawo do opublikowania zgłoszenia (i powiązanych z nim aktualizacji).
- Publikujemy listę osób, które przesłały poprawne zgłoszenia dotyczące zabezpieczeń. Aby znaleźć się na tej liście, musisz otrzymać nagrodę, ale udział w programie jest opcjonalny. Zastrzegamy sobie prawo do ograniczenia lub zmodyfikowania informacji obok Twojego imienia i nazwiska na liście.
- Sprawdzamy, czy wszystkie nagrody są zgodne z obowiązującymi przepisami, m.in. przepisami dotyczącymi sankcji handlowych i ograniczeń ekonomicznych w USA.
Korzystanie z usług Facebooka oraz usług innych członków grupy spółek Facebooka, w tym na potrzeby niniejszego programu, podlega Warunkom i zasadom Facebooka oraz warunkom i zasadom każdego członka grupy spółek Facebooka, z którego usług korzystasz. Facebook (i dowolny członek grupy spółek Facebooka, którego dotyczy Twoje zgłoszenie) ma prawo przechowywać korespondencję na temat zgłaszanych kwestii bezpieczeństwa tak długo, jak uzna za konieczne na potrzeby programu, i może w dowolnym momencie zakończyć program lub zmienić jego zasady.
Program Nagrody za ujawnienie błędu – zakres
Aby zakwalifikować się do nagrody, zgłoś błąd dotyczący zabezpieczeń na Facebooku lub błąd dotyczący jednego z poniższych produktów lub partnerów:
- Atlas
- Instagram
- Internet.org / Free Basics
- Moves
- Oculus
- Onavo
- Projekty typu open source – Facebook/Parse (np. osquery)
- Parse
- WhatsApp
Pamiętaj, że usługi niebędące własnością Facebooka (np. WordPress VIP oraz Page.ly) nie podlegają programowi nagród. Chociaż często zajmujemy się problemami wpływającymi na usługi, z których korzystamy, nie możemy zagwarantować, że nasze zasady nieujawniania informacji mają zastosowanie do usług innych firm.
Przykłady dotyczące zakresu programu
Jeżeli nie masz pewności, czy usługa spełnia wymogi programu, skontaktuj się z nami. Oto kilka przykładów aplikacji i witryn zgodnych i niezgodnych z wymogami.
| Target | Zgodne z wymogami | Niezgodne z wymogami |
|---|---|---|
| Witryny: facebook.com, fb.com, fb.me, messenger.com, thefacebook.com Aplikacje: Menedżer reklam, Facebook, Facebook Lite, Workplace Facebooka, Groups, Hello, Mentions, Messenger, Moments, Menedżer stron, Paper (Facebook), Work Chat | Witryny: events.fb.com, fbsbx.com, investor.fb.com, media.fb.com, newsroom.fb.com, search.fb.com, work.fb.com Aplikacje: Facebook for Blackberry, Facebook for Windows | |
| Atlas | Witryny: atlassolutions.com | Witryny: atdmt.com, atlassbx.com |
| Witryny: instagram.com Aplikacje: Boomerang, Hyperlapse, Instagram, Layout | Witryny: blog.instagram.com | |
| Internet.org | Witryny: freebasics.com, internet.org Aplikacje: Free Basics | |
| Moves | Witryny: moves-app.com Aplikacje: Moves | |
| Oculus | Witryny: oculus.com | Witryny: answers.oculus.com, forums.oculus.com, support.oculus.com |
| Onavo | Witryny: onavo.com Aplikacje: Onavo Count, Onavo Extend, Onavo Protect | Witryny: Witryny: blog.onavo.com |
| Open Source | Repozytoria kodów https://github.com/facebook/, https://github.com/ParsePlatform/ | |
| Parse | Witryny: parse.com | Witryny: blog.parse.com, community.parse.com |
| Witryny: blog.whatsapp.com, translate.whatsapp.com, web.whatsapp.com, whatsapp.net, www.whatsapp.com Aplikacje: WhatsApp | Witryny: alpha.whatsapp.com, media.whatsapp.com | |
| Inni partnerzy/przejęte firmy | Witryny: daytum.com, drop.io, face.com, friendfeed.com, monoidics.com, opencompute.org, and spaceport.io Usługi (witryny i aplikacje): LiveRail |
Obszary nieobjęte programem
- Spam i socjotechnika.
- Ataki typu DoS (ang. Denial of Service)
- Atak polegający na wprowadzaniu treści (ang. Content Injection). Publikowanie treści to kluczowa funkcja Facebooka, a atak polegający na wprowadzaniu treści nie spełnia wymogów zgłoszenia, chyba że można udowodnić, że stanowi on znaczne zagrożenie.
- Problemy związane z bezpieczeństwem w zintegrowanych z Facebookiem aplikacjach lub witrynach partnerów zewnętrznych (w tym większość stron na apps.facebook.com). Elementy te nie są zarządzane przez Facebooka i, zgodnie z naszymi zasadami, ich zabezpieczenia nie są sprawdzane.
- Wykonywanie skryptów w domenach testowych (takich jak fbrell.com lub fbsbx.com). Dzięki powiadomieniom (document.domain) można sprawdzić czy dana zawartość rzeczywiście należy do *.facebook.com.
Przykłady sytuacji niestanowiących błędów w zabezpieczeniach
- Otwarte przekierowania. Przekierowania wykorzystujące system „linkshim” nie są przekierowaniami otwartymi (więcej informacji).
- Publicznie dostępne zdjęcia profilowe. Twoje aktualne zdjęcie profilowe jest zawsze publicznie dostępne (niezależnie od rozmiaru czy rozdzielczości).
- Informacje dostępne publicznie obejmują także Twoją nazwę użytkownika, identyfikator, imię i nazwisko, aktualne zdjęcie w tle, płeć oraz wszelkie inne dane, które udostępniasz publicznie (więcej informacji).
- Wysyłanie wiadomości do dowolnych użytkowników Facebooka (więcej informacji).
- Dostęp do zdjęć przez adresy URL nieskompresowanych obrazów z naszego systemu dostarczania treści. Jeden z naszych inżynierów objaśnia to bardziej szczegółowo (link zewnętrzny).
- Hasła dopuszczające różną wielkość liter. Aby uniknąć problemów z logowaniem, dopuszczamy hasła pisane wielkimi literami oraz hasła zaczynające się wielką literą.
- Brak informacji o autorze postów strony. Co do zasady administratorzy strony widzą, który administrator utworzył dany post, choć nie stanowi to formy zabezpieczenia.