.
Quando qualquer nova tecnologia surge, os criminosos cibernéticos e fraudadores quase imediatamente dão uma olhada para ver o que eles ganham com isso.
A Internet, os smartphones e a Internet das Coisas tornaram-se cada vez mais parte de como vivemos nossas vidas – e todas essas tecnologias são visadas por hackers mal-intencionados que procuram roubar senhas, informações pessoais, dados bancários e muito mais.
Assim, à medida que o metaverso e a realidade virtual surgem como uma nova forma de viver, trabalhar e relaxar na internet, essas plataformas também se tornarão rapidamente o alvo de criminosos cibernéticos, ávidos por encontrar e explorar vulnerabilidades em hardware e software ou talvez usar o tecnologia para apoiar seus golpes.
Agora, a Meta, proprietária do Facebook, que está investindo grandes somas em seus projetos de construção de metaverso, quer ficar à frente dos hackers pedindo aos pesquisadores de segurança que identifiquem vulnerabilidades e problemas em produtos relacionados ao metaverso, como Meta Quest, Meta Quest Pro e Meta Quest Touch Pro, com divulgações genuínas recompensadas com pagamentos de recompensas por bugs que podem chegar a centenas de milhares de dólares.
O Facebook opera um programa de recompensas por bugs para seus aplicativos da web desde 2011, mas apesar do metaverso ser um pilar fundamental da estratégia de negócios da Meta, a empresa ainda é relativamente nova no desenvolvimento de hardware.
Também: O metaverso está chegando e as ameaças de segurança já chegaram
No entanto, ao incentivar especialistas em segurança cibernética de fora da Meta a invadir o metaverso, a empresa busca melhorar a segurança dos produtos para todos.
“Uma de nossas prioridades é integrar ainda mais a comunidade de pesquisa externa conosco em nossa jornada para proteger o metaverso. Como este é um espaço relativamente novo para muitos, estamos trabalhando para tornar a tecnologia mais acessível aos caçadores de bugs e para ajudá-los envie relatórios válidos mais rapidamente”, diz Neta Oren, gerente de analista de segurança e líder de recompensas de bugs da Meta.
Parte da estratégia por trás desse trabalho envolve colocar os fones de ouvido de realidade virtual da Meta na frente de pesquisadores de segurança e hackers, conseguindo isso com o Meta BountyCon, uma conferência de segurança focada em recompensas de bugs que permite aos caçadores colocar a mão na massa com os produtos.
O evento mais recente focou em ameaças emergentes no espaço VR, algo que Oren descreve como um movimento intencional em direção ao “objetivo de tornar toda a indústria mais segura”.
A Meta atualizou seus termos de recompensa por bug para destacar que seus produtos mais recentes, os controladores Meta Quest Pro e Meta Quest Touch Pro, são elegíveis para o programa de recompensa por bug e adicionou novas diretrizes de pagamento para tecnologia VR, incluindo bugs específicos para Meta Quest Pro .
E para aqueles que encontram vulnerabilidades de segurança na realidade virtual e na tecnologia do metaverso do Meta, há recompensas financeiras por recompensas de bugs de potencialmente centenas de milhares de dólares.
Entre outras coisas, as diretrizes de pagamento detalham como os pagamentos para descobrir bugs de execução remota de código móvel – vulnerabilidades que podem permitir que um invasor execute malware ou assuma o controle de um dispositivo – podem chegar a US$ 300.000, enquanto os pesquisadores que descobrem vulnerabilidades de controle de conta podem ser recompensado com até $ 130.000.
As recompensas financeiras são altas porque a Meta quer encorajar hackers de hardware que talvez nunca tenham visto as ofertas de realidade virtual da empresa antes.
“Queremos ajudar os pesquisadores a priorizar seus esforços e focar em algumas das áreas de maior impacto em nossa plataforma”, diz Oren.
O esquema de recompensas de bugs já resultou na divulgação de várias vulnerabilidades não descobertas anteriormente.
Também: Teletransportes acidentais e high-fives virtuais: o que aprendi sobre reuniões de RV
Uma divulgação enviada na BountyCon encontrou um problema no fluxo oAuth da Meta Quest – um padrão aberto usado para conceder a sites ou aplicativos acesso às informações do usuário em outros sites, o que poderia ter levado um invasor a obter o controle do token de acesso de um usuário e o controle de sua conta, com apenas dois cliques
“Corrigimos esse problema e nossa investigação não encontrou nenhuma evidência de abuso e recompensamos este relatório com um total de US$ 44.250, o que reflete o impacto da vulnerabilidade”, diz Oren.
Outro pesquisador recebeu US$ 27.200 depois de encontrar uma vulnerabilidade que poderia permitir que um invasor ignorasse o 2FA baseado em SMS, explorando um problema de limitação de taxa para forçar o PIN de verificação necessário para confirmar o número de telefone de alguém. A vulnerabilidade também foi corrigida após a divulgação.
Essas vulnerabilidades podem não ter sido descobertas – pelo menos não tão rapidamente – sem o esquema de recompensas por bugs, e é por isso que, para Meta, é importante continuar a expandi-lo.
“Congratulamo-nos com qualquer contribuição da comunidade externa para obter o maior número possível de olhos no código, continuar a testar nossos produtos e torná-los mais seguros”, diz Oren.
O programa de recompensas de bugs para o metaverso segue os passos de outros esquemas de recompensas de bugs da Meta, alguns dos quais estão em execução há uma década – e a empresa também possui uma série de equipes de segurança da informação para ajudar a garantir que o metaverso e as outras plataformas do Meta são tão seguros quanto possível contra ameaças cibernéticas.
Eles incluem análises de segurança de produtos, uma equipe de modelagem de ameaças, uma equipe vermelha executando testes de penetração contra a empresa e muito mais, além do programa de recompensas por bugs. Todo esse esforço se encaixa para a Meta garantir que qualquer produto lançado seja o mais seguro possível contra o maior número possível de ameaças.
“Essas são todas as coisas que aprendemos ao longo dos anos que aplicamos quando construímos novos produtos, então os novos produtos já têm tudo isso embutido neles”, diz Oren.
Também: Cibersegurança: essas são as novidades com as quais se preocupar em 2023
Depois que novas vulnerabilidades, que são divulgadas como parte do esquema de recompensas de bugs, foram investigadas e mitigadas, atualizações de segurança são lançadas nos produtos. Para garantir que as atualizações de segurança que corrigem as vulnerabilidades sejam aplicadas, os produtos VR da Meta verificam automaticamente as atualizações no lançamento e as aplicam.
“Estamos compartilhando esses bugs publicamente para garantir que todos no setor possam aprender conosco. É comum que, uma vez que uma grande empresa publique esse tipo de coisa, outras empresas procurem internamente por algo semelhante”, explica Oren.
E como os pesquisadores externos não estão limitados a olhar para os produtos Meta, se eles encontrarem algo no Meta Quest Pro ou outro dispositivo Meta, eles provavelmente também olharão para produtos similares construídos por outros.
“Sabemos que nossos pesquisadores não caçam apenas no Meta. Então, se eles encontrarem um bug conosco, eles podem procurá-lo em nossos concorrentes e também reportarão a eles”, diz Oren.
“É por isso que achamos que a educação é tão importante porque os pesquisadores, tudo o que aprendem conosco, eles implementam para outras empresas enquanto caçam”, diz ela.
MAIS SOBRE SEGURANÇA CIBERNÉTICA
.
