フェイスブックがバグ懸賞プログラムに「支払い遅延ボーナス」を追加

今回は「フェイスブックがバグ懸賞プログラムに「支払い遅延ボーナス」を追加」についてご紹介します。

関連ワード （Facebook、バグ、バグバウンティ等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、TechCrunch様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

ことバグ探し懸賞に関して、Facebook（フェイスブック）はMicrosoft（マイクロソフト）やGoogle（グーグル）と比べて、報奨金の支払額においても受け取ったバグ報告の数においても遅れを取っている。2020年MicrosoftとGoogleが、それぞれ1360万ドル（約15億3000万円）と670万ドル（約7億4000万円）の賞金を支払ったのに対して、Facebookが支払ったのは2020年11月時点でわずか198万ドル（約2億2000万円）だった。

一方で、Facebookは若い会社であり、懸賞ハンターたちの目にとまるためのシステム改善に取り組んでいる。最新の進展として、Facebookは7月14日、支払いが報告を受け取ってから30日以上過ぎた場合にボーナス賞金を追加することを発表した。

Payout Time Bonus（支払時期ボーナス）とFacebookが呼ぶその仕組みはスライド制になっており、支払われるまでの期間が30～59日間の場合は5％、60～89日間なら7.5％、90日間以上なら10％のボーナスが追加される。Facebookは基本となる報奨金額を公表していないが、懸賞の最新ラウンドでは、バグ1件あたり最大級の支払額は現在のボーナスプログラムで8万ドル（約880万円）や6万ドル（約660万円）、4万ドル（約440万円）に上った例がある。しかし、賞金は500ドル（約5万5000円）のこともある。

追加の賞金は、バグ報告で暮らしを支えている懸賞ハンターにとって一種のインセンティブになるだろう。Facebookの有効な報告に対するFacebookの支払いが遅れている時、ハンターはより多くの報酬を期待できるので、Facebookでバグ探しをする気が失せることもなくなるかもしれない。

バグ・ハンティングはセキュリティ研究者にとってビッグビジネスになっており、懸賞プログラムで年間100万ドル（約1億1000万円）を稼ぐ人もいる。しかし、賞金稼ぎは諸刃の剣だ。優秀な人材を特定のプラットフォームに集中させることは間違いないが、そうすることで脆弱性を探すのにかける時間が場所によって変わることになりかねない。その結果、大規模プラットフォームは、バグに苦しむ自らの環境を他社と同じく、あるいはより「魅力的」にすることで協力者を増やそうとする結果を招く。

Facebookは、賞金の金額はさまざまな要素に基づいて決めているという。影響度、悪用の容易さ、レポートの質などだ。「賞金を支払う場合、最低金額は500ドルです」と同社は私に話した。

「研究者に支払う報酬は、個々のバグに対する我々の内部調査で見つけた最大の影響の可能性に基づいて決定します。報告された影響度に基づくものではありません。時には我々の調査によって著しく金額が大きくなることもありますが、そのためには時間もかかります。Payout Time Bonusには、このプロセス中にの研究者たちの忍耐に対する報酬という意味もあります」。

「公開されている一連の支払いガイドラインには、外部研究者が当社の支払決定方法を理解するための詳細情報が書かれています。これまでに3種類のガイドラインを発行しており、今後もさらに発行する予定です。

関連記事
・Kubernetesのバグ褒賞金制度は多数のセキュリティ研究者の参加を期待
・ファーウェイがバグ発見褒賞会議を開催、ミュンヘンにハッカーを集める

画像クレジット：TechCrunch

【原文】

When it comes to bug bounties, Facebook lags behind the likes of Microsoft and Google in terms of overall payouts and volume of tips received: last year, Microsoft and Google respectively paid out $13.6 million and $6.7 million; Facebook meanwhile paid out just $1.98 million as of November.

But on the other hand, Facebook’s a younger company and is working on improving its system to keep it on bounty hunters’ radar. In the latest development, Facebook today said that it would be adding a new set of bonus rewards when it pays out on a report if more than 30 days have passed since Facebook first received it.

The Payout Time Bonus, as Facebook is calling it, will work on a sliding scale, where payouts made between 30-59 days will get a 5% bonus; payouts made between 60-89 days will get a 7.5% bonus; and payouts made after 90 days or more will get a 10% bonus. Facebook doesn’t specify what the base amount is, but in its last round of bounties, its highest payouts per bug were as much as $80,000 and $60,000 with some $40,000 paid out in its existing bonus program. But payments might be as low as $500.

The extra money will work as a kind of incentive to bounty hunters who make a living from these tips, so that when delays happen with Facebook paying out for legitimate tips, the bug hunters know they’ll get a more lucrative reward for their work in the end — rather than get turned off from working on Facebook-property bugs altogether.

Bug hunting has become a big business for security researchers, with some making upwards of $1 million annually from the programs. But bounty hunting is a double-edged sword: it definitely focuses top minds on to specific platforms, but in doing so, they spend more time there than looking for vulnerabilities in some places than others. That leads the biggest platforms to ensure that they are making their bug-ridden environments more, or as, “attractive” as others to get people to contribute to their work.

Facebook says that it determines bounty amounts based on a variety of factors, including (but not limited to) impact, ease of exploitation, and quality of the report. “If we pay a bounty, the minimum reward is $500,” they told me.

“We reward researchers based on the maximum possible impact of their report that we find during our own internal investigation of each bug, rather than based on the impact reported initially by the researcher,” they continued. “Sometimes our impact investigations can lead tosignificantly higher bounties for researchers, but they can also sometimes take more time to complete. The Payout Time Bonus is meant to also reward our researchers for their patience during this process.

“Our ongoing payout guideline series, shares more details to help external researchers better understand our payout decisions. We have published three guidelines so far and will publish more in the future.”

（文：Ingrid Lunden、翻訳：Nob Takahashi / facebook ）

Facebook - ログインまたは登録

Facebookにログインして、友達や家族と写真や近況をシェアしましょう。Facebookを使うと、友達や同僚、同級生、仲間たちとつながりを深められます。ケータイ、スマートフォンからもアクセスできま …

Facebookにログイン

Facebookにログインして、友達や家族と写真や近況をシェアしましょう。 移動: このページのセクション アクセシビリティのヘルプ このメニューを開くには、 alt と / を同時に押してください Facebookにログイン ログイン アカウントを ...

Facebook - Google Play のアプリ

Facebook. 世界で13.5億人以上が利用しているFacebookは、日々のコミュニケーションや情報収集が楽しくなる無料アプリです。. 友達や家族の近況をチェックしたり、気に入ったものに「いいね！. 」したり、写真や動画をシェアしたり、好きなブランドの最新 ...

Facebook - Wikipedia

Facebook 開発元 Facebook, Inc. 初版 2004年2月4日 (17年前) () 対応言語 多言語(Unicodeに登録されている文字に依存)サポート状況 開発中 種別 ソーシャル・ネットワーキング・サービス 公式サイト www.facebook.com アレクサ

Facebookの使い方 - Facebook navi[フェイスブックナビ]

Facebookを楽しむには、はじめにアカウントの登録が必要です。Facebook naviのこのページでは、Facebookのアカウント登録を、手順を追って紹介します。

Facebook Lite - Apps on Google Play

The Facebook Lite app is small, allowing you to save space on your phone and use Facebook in 2G conditions. Many of the classic features of Facebook are available on the app, such as sharing to a Timeline, liking photos, searching for people, and editing your profile and groups. Specific features include: The Facebook app does more than help ...

Sharing Debugger - Facebook for Developers

Sharing Debugger lets you preview how your content will look when it's shared to Facebook and debug any issues with your Open Graph tags.