Fb anuncia divulgación official de vulnerabilidades …



El gigante de las redes sociales también ha lanzado un nuevo sitio net para compartir información sobre la seguridad de WhatsApp.

Fb lanzó hoy una política official para divulgar vulnerabilidades en productos de terceros y también anunció la creación de un nuevo sitio internet para proporcionar actualizaciones de seguridad y divulgación de errores relacionados con WhatsApp.

La nueva Política de divulgación de vulnerabilidades de seguridad de Facebook codifica formalmente un conjunto de prácticas que el gigante de las redes sociales dijo que seguiría para divulgar información sobre cualquier problema de seguridad que sus investigadores pudieran descubrir en productos de terceros.

Según la política, cuando Fb informa a un tercero sobre un mistake, le dará a esa entidad 21 días para que Facebook sepa cómo se mitigará el problema. Si el tercero no responde, Fb dice que se reserva el derecho de divulgar el mistake públicamente. La compañía dice que hará lo mismo si no hay una solución disponible después de 90 días. Fb es nuevo divulgación de política La página enumera varios otros procesos y pasos que se tomarán para garantizar que el tercero tenga todas las oportunidades para comprender y corregir un mistake antes de que se agote el tiempo de divulgación.

Fb ya ha seguido de manera informal muchas de las prácticas. El objetivo de anunciar una política estructurada es «explicar sin ambigüedades» las expectativas, los plazos y los procesos de informes cuando se descubren problemas de seguridad en códigos y sistemas de terceros, dijo Facebook el jueves.

«De vez en cuando, en el curso de nuestro trabajo, nos encontramos con vulnerabilidades de seguridad en el código de terceros, incluidos los dispositivos o program de proveedores de código abierto y de código cerrado, entre otras cosas», dice Nathaniel Gleicher, jefe de política de seguridad de Fb.

En el pasado, los investigadores de Fb encontraron e informaron múltiples vulnerabilidades en clientes VPN, servidores VPN, conmutadores ópticos, application de virtualización, dispositivos de almacenamiento de archivos y clientes de correo electrónico, entre otros tipos de software o dispositivos, dice Gleicher.

«Esta política codifica los principios básicos que siempre nos hemos esforzado por seguir: anteponer a los usuarios, minimizar el daño y compartir nuestros hallazgos para ayudar a la comunidad de seguridad de la información a solucionar problemas rápidamente», dice.

En los últimos años, la industria de la seguridad ha trabajado para generar consenso en torno a prácticas responsables de divulgación de errores. Aunque la mayoría de las divulgaciones en estos días se adhieren a políticas ampliamente utilizadas, como la que Facebook anunció hoy, ha habido casos en los que los investigadores y proveedores de seguridad han publicado detalles de errores antes de que se dispusiera de una solución.

Un ejemplo noteworthy involucró un mistake en una biblioteca de cifrado de Windows que un investigador del programa Project Zero de Google divulgado en junio de 2019 incluso cuando se estaba preparando una solución. En ese caso, el investigador describió que la divulgación sucedió solo después de haber proporcionado a Microsoft el tiempo adecuado para solucionar el problema. Google, al igual que otras empresas de tecnología, tiene una política de divulgación de errores articulada formalmente que tiene una línea de tiempo equivalent a la política de Facebook,

Fb y cientos de otras empresas han intentado mitigar el riesgo de divulgaciones de día cero que involucran sus productos mediante la implementación de programas formales de recompensa por errores que brindan a los investigadores de seguridad independientes y de terceros una forma de buscar e informar de manera responsable los errores en sus productos. Hasta ahora, Fb ha otorgado más de $ 9,8 millones en recompensas a investigadores de unos 60 países por informar de manera responsable las vulnerabilidades en los productos y servicios de Facebook. Solo en 2019, la compañía pagó más de $ 2.2 millones a investigadores independientes, dice Gleicher.

Además de la nueva política de divulgación, Facebook también ha lanzado una nueva sitio website que proporcionará periódicamente información sobre la seguridad de WhatsApp, incluidos los errores recientemente corregidos. Según Fb, alrededor de un tercio de los errores informados en WhatsApp llegan a través de su programa de recompensas por errores y, como la mayoría de los errores, se corrigen el mismo día.

«WhatsApp ha revelado CVE a través de MITRE anteriormente y seguiremos haciéndolo», señala Gleicher. «Pero también queríamos facilitar que los investigadores de seguridad y las personas que utilizan nuestro servicio tengan actualizaciones y comprendan el trabajo de seguridad (en torno a WhatsApp). Esperamos que cualquiera que vea la página comprenda mejor la seguridad de WhatsApp. «

Jai Vijayan es un reportero de tecnología experimentado con más de 20 años de experiencia en periodismo comercial de TI. Más recientemente, fue editor senior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia unique