Facebook fait le bilan annuel de son programme de Bug Bounty lancé en août 2011 et qui concerne un panel de plusieurs de ses produits. En 2015, la chasse aux vulnérabilités de sécurité a permis à 210 hackers ayant rapporté 526 bugs de recevoir la somme de 936 000 dollars. Il n'y a pas de rémunération systématique puisque Facebook a reçu un total de 13 233 rapports de bugs (pas tous valides) de 5 543 chercheurs en sécurité dans 127 pays.
Depuis le début de son Bug Bounty, Facebook a distribué plus de 4,3 millions de dollars à plus de 800 hackers à travers le monde. Au cours de ces dernières années, la tendance est cependant à la baisse. En 2014, Facebook avait déboursé 1,3 million de dollars auprès de 321 chercheurs en sécurité, et 1,5 million de dollars en 2013 pour 330 individus.
Facebook explique cette tendance par le fait que les vulnérabilités usuelles de type XSS et (cross-site scripting) et CSRF (cross-site request forgery) sont plus désormais plus difficiles à trouver. Cela sous-entend que Facebook est meilleur dans la protection contre de telles failles.
Dès lors, les chercheurs se concentrent sur la quête de bugs à l'impact plus important et plus difficiles à déceler. Par ailleurs, la qualité des rapports de bugs s'est améliorée et Facebook peut supprimer des classes entières de vulnérabilités en une seule fois.
Le mois dernier, la première plateforme européenne de chasse aux bugs de sécurité a été lancée : BountyFactory.io.