Sur son blog Facebook indique ainsi que « les premiers à révéler de façon responsable » une faille qui pourrait « compromettre l'intégrité ou la confidentialité des données des utilisateurs de Facebook » auront droit à une prime de 500 dollars. « Notre équipe de sécurité évaluera chaque faille (identifiée) pour déterminer si elle répond aux critères » donnant droit à récompense. La prime pourra même être supérieure dans le cas de bugs plus importants.
Pour mettre en œuvre ce programme, le site communautaire vient d'ouvrir une page dédiée qui fournit les modalités. Il faut absolument que le site soit le premier averti de la faille et cette dernière doit rester secrète le temps que Facebook puisse corriger le bug. Il est également impératif que le découvreur ne vive pas dans un pays ciblé par des sanctions américaines. Parmi les bugs recevables, Facebook évoque notamment le Cross-Site Scripting (XSS) et le Cross-Site Request Forgery (CSRF/XSRF). Seules les failles impactant la confidentialité des utilisateurs ou des données sont concernées.
Cette initiative est intéressante car de nombreux internautes découvrent des failles, souvent par hasard. En revanche, les primes sont moindre comparées aux 3000 dollars proposés par Mozilla.