Kluczowe dania na wynos
- Meta rozszerzyła swój program bug bounty, aby wzmocnić swoją platformę i użytkowników przed skrobakami danych.
- Wyszukiwanie danych doprowadziło w przeszłości hakerów do gromadzenia informacji od ponad 300 milionów użytkowników.
-
Meta twierdzi, że jest pierwszym, który nagradza naukowców za ich pomoc w zdobyciu danych.
Czy zaskoczy Cię wiadomość, że zautomatyzowane programy przeczesują platformy mediów społecznościowych, takie jak Facebook, w celu zebrania wszelkich publicznie dostępnych informacji i zestawiania ich w bazach danych? Poszczególne informacje mogą nie być zbyt przydatne, ale razem mogą umożliwić hakerom popełnianie wszelkiego rodzaju przestępstw cyfrowych, takich jak kradzież poświadczeń i ataki typu phishing. A Meta ma już tego dość.
Podczas gdy sama sieć społecznościowa podejmuje kroki w celu wyłapania i ograniczenia tych zautomatyzowanych programów zwanych skrobakami, platforma postanowiła teraz skorzystać z pomocy niezależnych badaczy bezpieczeństwa, rozszerzając swoje programy nagród za błędy. Jego celem jest nie tylko naprawa błędów, które ujawniają takie informacje o użytkownikach, ale także pomoc w znalezieniu takich baz danych, które przechowują wyskrobane informacje.
„Program bug bounty pomoże wypełnić luki w zabezpieczeniach Facebooka przed scrapingiem i powiadomić Meta o skrobanych bazach danych, które pojawiają się w sieci”, powiedział Lifewire w wiadomości e-mail Paul Bischoff, obrońca prywatności i redaktor działu badawczego Infosec Comparitech..
Groźne drapanie
Meta określiła scraping jako „ogólnointernetowe wyzwanie”, ogłaszając rozszerzenie swojego programu bug bounty, który początkowo został zaprojektowany w celu znajdowania usterek oprogramowania w kodzie obsługującym platformę.
Według Bischoffa wiele platform zakazało używania skrobaków, nawet w przypadku posiadanych informacji, które są publicznie dostępne. Dzieje się tak, ponieważ informacje umożliwiające identyfikację osób (PII), takie jak nazwy użytkowników, daty urodzenia, adresy e-mail i lokalizacja, są często wykorzystywane przez złych aktorów do atakowania użytkowników w skomplikowanych kampaniach socjotechnicznych.
Program bug bounty pomoże wypełnić luki w zabezpieczeniach Facebooka przed scrapingiem i powiadomić Meta o skrobanych bazach danych…
Jednak Bischoff dodaje, że Facebook miał problemy z rozróżnieniem między skrobakami a legalnymi użytkownikami, co w przeszłości skutkowało ogromnymi wyciekami danych. W szczególności wskazuje na wyciek, który pojawił się w marcu 2020 r., kiedy Comparitech połączył siły z badaczem bezpieczeństwa Bobem Diachenko i odkrył bazę danych zawierającą identyfikatory użytkowników i numery telefonów ponad 300 milionów użytkowników Facebooka.
Ale skrobanie nie jest całkowicie nielegalne - w najlepszym razie istnieje w techniczno-prawnej szarej strefie, ponieważ ma również legalne zastosowania.
„Nawet jeśli skrobanie jest sprzeczne z warunkami korzystania z Facebooka, nie jest to całkowicie nielegalne. Niektóre operacje skrobania są złośliwe, ale inne mają charakter akademicki lub dziennikarski” – wyjaśnił Bischoff.
Poszukiwany DOA
W swoim ogłoszeniu rozszerzenia programu bug bounty Facebook wspomniał, że od samego początku w ramach inicjatywy bug bounty przyznano ponad 800 nagród o łącznej wartości ponad 2,3 miliona dolarów badaczom z ponad 46 krajów. Naturalnym rozszerzeniem programu było sprostanie „nowym wyzwaniom”, takim jak skrobanie.
Nawet jeśli skrobanie jest sprzeczne z warunkami korzystania z Facebooka, nie jest to całkowicie nielegalne.
Według Meta, rozszerzony program bug bounty nagradza badaczy bezpieczeństwa na dwóch frontach.
Po pierwsze, w ramach większej strategii bezpieczeństwa mającej na celu uczynienie scrapingu trudniejszym i „bardziej kosztownym” dla cyberprzestępców, Meta nagrodzi raporty o błędach w swojej platformie, które źli aktorzy mogą wykorzystać, aby ominąć bariery, które wznosi w celu zniechęcenia do scrapingu.
Po drugie, platforma powiedziała, że nagrodzi również łowców nagród za dane, którzy poinformują ją o niechronionych bazach danych dostępnych online, które zawierają zeskrobane dane osobowe co najmniej 100 000 unikalnych użytkowników Facebooka.
Jeśli potwierdzimy, że dane osobowe użytkownika zostały zeskrobane i są teraz dostępne online w witrynie innej niż Meta, podejmiemy odpowiednie środki, które mogą obejmować współpracę z odpowiednim podmiotem w celu usunięcia zbioru danych lub poszukiwanie środków prawnych aby pomóc w rozwiązaniu problemu”, Meta zauważyła w ogłoszeniu.
Dodano, że jeśli zadrapanie było spowodowane błędną konfiguracją aplikacji zewnętrznego programisty, platforma współpracowałaby z programistą w celu zatkania wycieku. Z drugiej strony dołoży również starań, aby usługa hostingowa, w której hakerzy przechowywali zeskrobaną bazę danych, usunęła ją.
Nagrody za skrobanie zaczynają się od 500 dolarów i chociaż błędy skrobania pociągają za sobą wypłaty pieniężne, informacje o skrobanych bazach danych zostaną przyznane w formie darowizn charytatywnych wybranym przez reporterów organizacjom non-profit.
„Zgodnie z naszą najlepszą wiedzą jest to pierwszy w branży program do zbierania nagród za błędy” – podsumowała Meta. „Będziemy pracować nad odpowiedzią na opinie naszych najlepszych łowców nagród przed rozszerzeniem zakresu na większą grupę odbiorców”.
