C'est la plus grosse récompense jamais distribuée par le réseau social depuis le lancement du programme "Bug bounty" en 2011. Une faille XML vaut à son découvreur, un ingénieur brésilien, 33 500 dollars. Un ingénieur brésilien vient de décrocher 33 500 dollars de récompense dans le cadre du programme Bug bounty de Facebook. Il a découvert et signalé, en novembre dernier, une vulnérabilité sur une "XML External Entity" (XEE) qui aurait pu permettre à quiconque de lire des fichiers de manière arbitraire sur les serveurs du réseau social, explique The Next Web. Dans un billet de blog, Facebook rappelle que c'est la plus grosse récompense jamais accordée à ce jour. En juin dernier, un chercheur britannique avait reçu 20 000 dollars pour la découverte d'une faille de sécurité. "Pire scénario envisageable" L'ingénieur brésilien, Reginaldo Silva, explique par ailleurs sa découverte de la vulnérabilité de son côté. Il montre que le bug XEE affecte la partie login de Facebook, si un identifiant externe est utilisé - avec une connexion au compte Gmail via OpenID pour récupérer les informations basiques par exemple. Il détaille son cheminement, et affirme n'avoir pas été plus loin dans l'intrusion pour éviter de perdre le bénéfice du programme de chasse aux bugs. Si Facebook a accepté de payer aussi cher pour un seul bug, c'est qu'il "considère le pire scénario envisageable et paye en conséquence", semble justifier Sival.