Depuis le début de son Bug Bounty, Facebook a distribué plus de 4,3 millions de dollars à plus de 800 hackers à travers le monde. Au cours de ces dernières années, la tendance est cependant à la baisse. En 2014, Facebook avait déboursé 1,3 million de dollars auprès de 321 chercheurs en sécurité, et 1,5 million de dollars en 2013 pour 330 individus.
Facebook explique cette tendance par le fait que les vulnérabilités usuelles de type XSS et (cross-site scripting) et CSRF (cross-site request forgery) sont plus désormais plus difficiles à trouver. Cela sous-entend que Facebook est meilleur dans la protection contre de telles failles.
Dès lors, les chercheurs se concentrent sur la quête de bugs à l'impact plus important et plus difficiles à déceler. Par ailleurs, la qualité des rapports de bugs s'est améliorée et Facebook peut supprimer des classes entières de vulnérabilités en une seule fois.
Le mois dernier, la première plateforme européenne de chasse aux bugs de sécurité a été lancée : BountyFactory.io.