Categorie
Sicurezza Informatica

Il programma Bug Bounty di Meta nel 2024: sicurezza, premi milionari e ricerca globale

Il Bug Bounty Program di Meta nel 2024 ha premiato i ricercatori di sicurezza con oltre 2,3 milioni di dollari. Scopri come l’azienda sta proteggendo GenAI, hardware AR/VR e strumenti pubblicitari.

Bug Bounty Meta
Bug Bounty Meta

Il 2024 è stato un anno significativo per il Bug Bounty Program di Meta, che ha visto un aumento delle ricompense e un’espansione della ricerca sulla sicurezza in diversi settori, dall’intelligenza artificiale generativa (GenAI) alla realtà aumentata e virtuale (AR/VR). Con oltre 2,3 milioni di dollari in premi assegnati e quasi 10.000 segnalazioni ricevute, Meta continua a rafforzare la collaborazione con i ricercatori di sicurezza di tutto il mondo.

Un bilancio del Bug Bounty Program 2024

Meta ha avviato il suo Bug Bounty Program nel 2011 e, da allora, ha distribuito più di 20 milioni di dollari in premi ai ricercatori che hanno segnalato vulnerabilità critiche nei suoi prodotti e servizi. Nel solo 2024:

  • Sono stati ricevuti quasi 10.000 report, di cui circa 600 sono stati riconosciuti come validi.
  • Sono stati assegnati oltre 2,3 milioni di dollari in premi a quasi 200 ricercatori provenienti da più di 45 paesi.
  • I tre paesi che hanno ricevuto più ricompense sono stati India, Nepal e Stati Uniti.

Questo dimostra che la community di ricercatori indipendenti gioca un ruolo fondamentale nel mantenere sicuri i servizi di Meta.

L’attenzione sull’intelligenza artificiale generativa (GenAI)

Meta ha aperto il proprio ecosistema di intelligenza artificiale generativa (GenAI) ai ricercatori di sicurezza, permettendo di individuare falle nei modelli di linguaggio di grandi dimensioni (LLM).

Nel 2024, Meta ha specificato che il Bug Bounty Program accetta segnalazioni relative a:

  • Estrazione di dati di addestramento attraverso attacchi di inversione del modello.
  • Violazioni della privacy o della sicurezza nei modelli LLM di Meta.
  • Falle che potrebbero permettere manipolazioni dannose delle risposte dell’IA.

Meta ha già ricevuto segnalazioni significative in questo campo e si aspetta di aumentare il numero di contributi nel 2025.

Ads, hardware e realtà mista: nuove priorità per la sicurezza

Nel 2024, Meta ha indirizzato la ricerca sulla sicurezza verso nuove aree di rischio, introducendo linee guida più chiare sui bug nei suoi strumenti pubblicitari e nei dispositivi hardware.

  • Ads audience tools: Meta ha aggiornato i criteri di ricompensa per i bug nei sistemi pubblicitari, stabilendo che la scoperta di dati sensibili (PII: nome, email, telefono, genere, CAP, stato di residenza) in un pubblico target può valere fino a 30.000 dollari.
  • Hardware e AR/VR: con il continuo sviluppo di prodotti come Meta Quest 3 e gli occhiali Ray-Ban Meta, l’azienda ha incentivato la ricerca di vulnerabilità nei dispositivi di realtà aumentata e virtuale.

In alcuni casi, i ricercatori hanno individuato bug che potevano compromettere le impostazioni di sicurezza o causare corruzione della memoria su questi dispositivi.

Eventi e conferenze: Meta investe nella comunità di ricerca

Meta ha rafforzato il proprio legame con la community di hacker etici e ricercatori attraverso eventi globali:

  • Ha ospitato il Meta Bug Bounty Researcher Conference (MBBRC) a Johannesburg, Sudafrica, riunendo 60 dei migliori ricercatori.
  • Ha partecipato a DEF CON, EkoParty, Hardwear.io e Pwn2Own, presentando ricerche congiunte su temi di sicurezza avanzata.
  • Ha annunciato che l’edizione 2025 del MBBRC si terrà a Tokyo dal 12 al 15 maggio.

Inoltre, uno dei ricercatori più attivi, Philippe Harewood, ha raggiunto il traguardo dei 500 report validati in 10 anni, contribuendo con ricerche su vulnerabilità nei token di accesso di Instagram e su bypass di sicurezza nei dispositivi Ray-Ban Stories.

Il futuro del Bug Bounty Program di Meta

Nel 2025, Meta punta a rafforzare il proprio ecosistema di sicurezza attraverso nuove iniziative:

  • Maggiore collaborazione con i ricercatori di intelligenza artificiale.
  • Test su funzionalità inedite attraverso programmi privati di Bug Bounty.
  • Nuovi incentivi economici per i report più significativi.

Con oltre 14 anni di attività, il Bug Bounty Program di Meta ha permesso di scoprire migliaia di vulnerabilità, mantenendo più sicuri i prodotti dell’azienda. Il coinvolgimento attivo della comunità di ricerca sarà fondamentale per affrontare le sfide della sicurezza digitale nei prossimi anni.

Di Livio Varriale

Giornalista e scrittore: le sue specializzazioni sono in Politica, Crimine Informatico, Comunicazione Istituzionale, Cultura e Trasformazione digitale. Autore del saggio sul Dark Web e il futuro della società digitale “La prigione dell’umanità” e di “Cultura digitale”. Appassionato di Osint e autore di diverse ricerche pubblicate da testate Nazionali. Attivista contro l’abuso dei minori, il suo motto è “Coerenza, Costanza, CoScienza”.

Exit mobile version