[기술포스팅 원문] https://engineering.fb.com/2025/02/13/security/looking-back-at-our-bug-bounty-program-in-2024/

[기술포스팅 요약]

Meta는 2024년에도 버그 바운티 프로그램을 통해 보안 연구자들과 협력하며 플랫폼 보안을 강화하는 노력을 지속했습니다. 작년 한 해 동안 10,000건에 가까운 버그 리포트를 접수했으며, 600건 이상의 유효한 리포트에 대해 총 230만 달러 이상의 보상을 지급했습니다. 또한 GenAI, 광고 도구, AR/VR 제품 등의 보안 연구를 확대하고, 연구자들을 위한 새로운 보상 체계를 도입했습니다.

• 2024년 버그 바운티 주요 성과
  • 전 세계 200여 명의 연구자에게 2.3백만 달러(약 300억 원) 이상 보상 지급
  • 2011년부터 현재까지 지급된 총 보상금은 2천만 달러(약 270억 원) 초과
  • 가장 많은 보상을 받은 국가는 인도, 네팔, 미국
  • Meta의 GenAI 관련 보안 연구 활성화 및 새로운 취약점 리포트 기준 공개
• GenAI 보안 연구 및 버그 바운티
  • Meta는 2023년부터 GenAI 보안 연구를 지원하며, 2024년에는 대규모 언어 모델(LLM) 보안 취약점 관련 리포트를 환영
  • 특히 모델 인버전 공격, 데이터 추출 공격 등 AI 모델 학습 데이터 보호와 관련된 연구를 중점적으로 수용
  • 이미 GenAI 관련 중요한 리포트가 접수되었으며, 연구자들과 협력해 보안성을 지속 개선
• 광고 및 하드웨어 보안 연구 장려
  • 광고 타겟팅 도구: 사용자 정보(이름, 이메일, 전화번호 등)가 유출될 가능성이 있는 보안 취약점을 보고하면 최대 3만 달러 지급
  • 혼합 현실(MR) 기기: Quest 및 Ray-Ban Meta Glasses 관련 보안 연구 장려
  • 2024년 Hardwear.io 컨퍼런스에서 Quest 3 및 Ray-Ban Meta Glasses를 보안 연구자들에게 공개하여 테스트 진행
• 버그 바운티 커뮤니티 강화 및 지원
  • 남아프리카 요하네스버그에서 Meta Bug Bounty Researcher Conference (MBBRC) 개최
    • 60명의 연구자 초청, 100건 이상 버그 리포트 접수
    • 총 32만 달러(약 4.3억 원) 이상의 보상 지급
  • 2025년 MBBRC는 일본 도쿄에서 5월 12~15일 개최 예정
  • DEF CON, Pwn2Own, Hardwear.io 등 주요 보안 컨퍼런스에서 연구 발표 진행
  • 연구자 지원을 위해 Meta Bug Bounty 웹사이트를 통해 리소스 및 최신 정보를 제공
• 주목할 만한 연구자 성과
  • Philippe Harewood 연구자는 10년간 500건 이상의 유효한 리포트를 제출하며 프로그램에 기여
  • Instagram 액세스 토큰 유출, Ray-Ban Stories의 비디오 캡처 제한 우회 등 중요한 취약점 발견
• 미래 계획
  • 신규 연구자 및 기존 연구자들에게 더 많은 비공개 버그 바운티 트랙 기회 제공
  • Meta의 AI 및 보안 연구 프로그램을 지속 확장하며 보안 커뮤니티와 협업 강화
  • 2025년에도 다양한 플랫폼에서 새로운 보안 취약점 연구를 지원하고 보상 확대 계획

Meta는 지난 14년 동안 외부 보안 연구자들과 협력하며 전 세계 플랫폼 보안을 강화해왔으며, 앞으로도 지속적인 개선과 연구 지원을 통해 더욱 안전한 환경을 구축할 계획입니다.

이 게시글은 [GPT-4o model]를 통해 요약되었으며, 정보 공유 목적으로 게시되었습니다. 원문 게시물에 대한 책임이나 이해 관계가 없습니다. - 소프트웨어QA 포럼