Facebook double le montant de la récompense minimum qu'il verse habituellement aux chasseurs de bugs afin de débusquer des failles de sécurité dans le code de son système publicitaire. Son programme « Bug Bounty » classique prévoit un minimum de 500 dollars pour le signalement d'une vulnérabilité validée. Il n'y a en revanche pas de récompense maximale, chaque signalement faisant l'objet d'une récompense « selon son degré de sévérité et sa créativité », explique la société dans le règlement de son programme. Quoi qu'il en soit, cette somme de départ est doublée jusqu'à la fin de l'année, soit 1 000 dollars, pour la communication d'un bug logé dans le code de son système de gestion des publicités.
Facebook vient de terminer un audit de ce code et souhaite le soumettre à un examen approfondi de la part des experts en sécurité. La plupart des bugs rapportés concernent des parties plus communes du code de la plateforme. Cette fois, c'est la partie « ads » que le réseau social veut vérifier « pour mieux protéger les entreprises », souligne dans un billet Collin Greene, ingénieur en sécurité chez Facebook. Les outils incluent le gestionnaire Ads Manager, les API liées aux annonces et Analytics, également appelé Insights.
La société veut aussi analyser le code de son système de facturation de back-end. Celui-ci n'est pas accessible via le site web, mais Facebook a pu constater que les failles qu'il avait déjà trouvées sur ce système pouvaient avoir un impact relativement important. Parmi le type de bugs, on peut trouver par exemple des erreurs sur les vérifications d'autorisation ou encore des problèmes avec Flash dans les annonces.