Kebijakan Baru Facebook Terkait Bug di Aplikasi Pihak Ketiga

Facebook mengeluarkan kebijakan baru terkait cara mereka mengungkapkan bug yang ditemukan di aplikasi pihak ketiga. Kebijakan yang disebut Vulnerability Disclosure Program (VDP) tersebut akan mengatur bagaimana Facebook akan berinteraksi dengan berbagai vendor aplikasi dan produk.

Kebijakan tersebut menyatakan bahwa

Facebook akan memberikan waktu 21 hari kepada vendor aplikasi pihak ketiga untuk menanggapi bug atau celah keamanan yang mereka temukan, dan 90 hari untuk memperbaikinya. Jika vendor tersebut melewati tenggang waktu yang diberikan, maka Facebook akan mengungkapkan bug tersebut kepada publik.

Kebijakan ini berlaku untuk semua jenis bug pada aplikasi dan produk yang dikembangkan sendiri atau dibeli dari pihak lain.

Facebook juga dapat mengubah rentang waktu yang diberikan kepada vendor untuk memperbaiki dan mendistribusikan patch untuk bug yang ditemukan. Tujuannya adalah agar pihak terkait menanggapi isu ini dengan serius.

Menurut Kepala Kebijakan Keamanan di Facebook, Nathaniel Gleicher, dengan merilis kebijakan ini kepada publik akan membantu banyak orang untuk memahami fitur reporting (pelaporan) dengan benar.

Kebijakan ini mendapat tanggapan yang sangat positif dari banyak pihak. Karena Facebook tidak lagi hanya diam menunggu laporan dari pengguna, namun langsung “menjemput bola” mencari bug dan memberitahukannya kepada pihak vendor.

Sebelum kebijakan baru ini dirilis, Facebook secara informal telah memberi tahu banyak vendor aplikasi VPN, server VPN, dan perangkat lunak, mengenai bug yang mereka temukan sendiri.

Namun dengan memformalkan cara pemberitahuan ini, maka pihak vendor pun dapat segera mengatasi bug yang ditemukan oleh Facebook agar tidak merugikan pengguna mereka.

Facebook digunakan oleh banyak vendor pihak ketiga untuk meningkatkan layanan mereka. Mulai dari log in, sign up, share hingga pengolahan data pengguna sesuai dengan yang diijinkan.

Tahun lalu, Facebook meluncurkan bug bounty untuk memberikan reward (minimal $500) bagi mereka yang dapat menemukan bug atau celah keamanan di aplikasi dan situs web pihak ketiga yang mengancam keamanan data pengguna Facebook.

Meskipun bug ini tidak terkait dengan kode Facebook itu sendiri, beberapa bug dapat menyebabkan data pengguna FB untuk disalahgunakan.

Kombinasi bug bounty ini dapat mendukung kebijakan VDP untuk mempercepat pengungkapan kerentanan atau bug di semua aplikasi pihak ketiga.