继今年漏洞挖掘的丰硕成果后，Meta旗下脸书（Facebook）部门上周宣布更新漏洞奖励计划支付指引，重点加强包括行动远程程序代码执行（mobile RCE）、账号接管、2FA绕过，以及VR产品漏洞的检查，其中RCE最高可拿30万奖金。

脸书表示，自2011年以来，该公司收到外部研究人员17万次漏洞通报，使其发出8,500多次奖励，金额达1,600多万美元。单是在今（2022）年，该公司也收到了约1万次通报，使他们发出750多次奖金，总金额超过200万美元。以获奖金金额的研究人员国籍区分，则以印度、尼泊尔及突尼斯居最高。

在今年的漏洞挖掘奖励方案下，脸书也更新支付指引，以着重特定类别漏洞。包括更新行动远程程序代码执行（RCE）漏洞的支付指引，并增加账号接管（account takeover，ATO）及双重验证（2FA）绕过漏洞。其中，行动RCE漏洞奖金高达30万美元，而ATO奖金也增至13万美元。

脸书表示，支付指引是为特定漏洞类别设置平均最高支付水准，并说明脸书评审漏洞奖金的条件。但该公司强调每件漏洞通报都是依个案审核，也可能有些漏洞能获得高于设置的奖金上限。

例如，今年脸书针对一个电话号码账号回复流程中，可能导致攻击者重设密码，并接管账号的账号接管漏洞，发出16.3万美元奖金。由于发现漏洞的一名印度研究人员还可将本漏洞串联另一个2FA漏洞，又获得脸书2.5万美元奖金。

而在2FA绕过漏洞中，今年脸书针对一名尼泊尔研究人员通报的限流问题，可让攻击者暴力破解证实用户手机号码的验证码，绕过SMS 2FA保护，发出2.7万美元。

为了推动元宇宙愿景的实现，脸书上周也宣布更新奖励条款，加入VR技术的支付指引，把Meta的虚拟现实（VR）及混合实境（MR）设备产品包括Meta Quest Pro和Meta Quest Touch Pro控制器的漏洞列入奖励行列。

事实上，今年脸书已经开始重点奖励Quest设备的漏洞通报。例如一名Youssef Sammouda通报Meta Quest的oAuth流程漏洞，后者可能导致攻击者2次点击就接管了用户账号。为此他获颁高达4.4万美元的奖金。