Facebookにセキュリティバグを見つけて報告すると最低500ドル支払うという、Security Bug Bountyプログラムが先月から始まっています。
開始から3週間でFacebookは40,000ドルを発見者に支払っているようです。そして、もっとも効果的なレポートには5000ドルを払い、一人当たりでは6種類のレポートで7000ドル受け取っている人もいるようです。

• Facebook pays bounties of $40,000 in first 3 weeks • The Register

身近なあの人たちも報告して受け取っていたりするのかな？