Kľúčové poznatky
- Meta rozšírila svoj bug bounty program, aby posilnila svoju platformu a používateľov proti škrabačkám údajov.
- Zoškrabovanie údajov viedlo hackerov k tomu, že v minulosti zhromaždili informácie o viac ako 300 miliónoch používateľov.
-
Meta tvrdí, že je prvým, kto odmeňuje výskumníkov za ich pomoc pri ovládnutí zoškrabovania údajov.
Prekvapilo by vás, keby ste vedeli, že automatizované programy prechádzajú platformami sociálnych médií, ako je Facebook, aby zbierali akékoľvek verejne dostupné informácie a zhromažďovali ich v databázach? Jednotlivé informácie nemusia byť veľmi užitočné, ale spoločne môžu hackerom umožniť páchať všetky druhy digitálnych zločinov, ako sú krádeže poverení a phishingové útoky. A Meta už toho má dosť.
Zatiaľ čo samotná sociálna sieť podniká kroky na zachytenie a obmedzenie týchto automatizovaných programov nazývaných scrapers, platforma sa teraz rozhodla požiadať o pomoc nezávislých bezpečnostných výskumníkov rozšírením svojich programov odmeňovania chýb. Jeho cieľom nie je len opraviť chyby, ktoré uvoľňujú takéto podrobnosti o jeho používateľoch, ale tiež pomôcť nájsť také databázy, ktoré obsahujú skopírované informácie.
„Program bug bounty pomôže vyplniť medzery v obrane Facebooku proti scrapingu a upozorní Meta na zoškrabané databázy, ktoré sa objavia na webe,“povedal pre Lifewire e-mailom Paul Bischoff, obhajca ochrany osobných údajov a redaktor spoločnosti Infosec Research Output Comparitech..
Scraping Menace
Meta označila scraping za „internetovú výzvu“, keď oznámila rozšírenie svojho programu odmeny za chyby, ktorý bol pôvodne navrhnutý tak, aby našiel softvérové chyby v kóde, ktorý poháňa platformu.
Podľa Bischoffa mnohé platformy zakázali používanie škrabákov, dokonca aj pre informácie, ktoré majú k dispozícii a ktoré sú verejne prístupné. Je to preto, že informácie umožňujúce identifikáciu osôb (PII), ako sú používateľské mená, dátumy narodenia, e-mailové adresy a poloha, často používajú zlé osoby na zacielenie na používateľov v prepracovaných kampaniach sociálneho inžinierstva.
Program bug bounty pomôže vyplniť medzery v obrane Facebooku proti scrapingu a upozorní Meta na zoškrabané databázy…
Bischoff však dodáva, že Facebook má problémy s rozlíšením medzi scrapermi a legitímnymi používateľmi, čo v minulosti viedlo k obrovským únikom dát. Konkrétne poukazuje na únik informácií, ktorý sa objavil v marci 2020, keď sa spoločnosť Comparitech spojila s bezpečnostným výskumníkom Bobom Diachenkom a objavila databázu, ktorá obsahovala používateľské ID a telefónne čísla viac ako 300 miliónov používateľov Facebooku.
Zoškrabovanie však nie je priamo nezákonné – v najlepšom prípade existuje v šedej zóne s technickými zákonmi, pretože má aj legitímne využitie.
„Aj keď je zoškrabovanie v rozpore s podmienkami používania Facebooku, nie je prísne nezákonné. Niektoré operácie zoškrabovania sú škodlivé, iné sú však akademické alebo novinárske,“objasnil Bischoff.
Chcem DOA
Vo svojom oznámení o rozšírení programu odmien za chyby Facebook spomenul, že od svojho vzniku iniciatíva odmien za chyby udelila vyše 800 odmien v celkovej výške viac ako 2,3 milióna dolárov výskumníkom z viac ako 46 krajín. Riešenie „nových výziev“, ako je škrabanie, bolo prirodzeným rozšírením programu.
Hoci zoškrabovanie je v rozpore s podmienkami používania Facebooku, nie je striktne nezákonné.
Podľa spoločnosti Meta bude rozšírený program odmien za chyby odmeňovať výskumníkov v oblasti bezpečnosti na dvoch frontoch.
Po prvé, v rámci svojej rozsiahlejšej bezpečnostnej stratégie s cieľom sťažiť a „nákladnejšie“zoškrabovanie pre aktérov hrozieb, Meta udelí hlásenia o chybách vo svojej platforme, ktoré môžu zlí herci zneužiť na obídenie bariér, ktoré vytvorila, aby odrádzali od zoškrabovania.
Po druhé, platforma uviedla, že odmeňuje aj lovcov odmien, ktorí ju informujú o nechránených databázach dostupných online, ktoré obsahujú zoškrabané PII najmenej 100 000 jedinečných používateľov Facebooku.
„Ak potvrdíme, že používateľ PII bol skopírovaný a je teraz dostupný online na inej stránke ako Meta, budeme pracovať na prijatí vhodných opatrení, ktoré môžu zahŕňať spoluprácu s príslušným subjektom na odstránení súboru údajov alebo hľadanie právnych prostriedkov aby sme pomohli zabezpečiť vyriešenie problému, “Meta poznamenala v oznámení.
Dodal, že ak k zoškrabaniu došlo v dôsledku nesprávnej konfigurácie v aplikácii externého vývojára, platforma by spolupracovala s vývojárom na odstránení úniku. Na druhej strane sa tiež bude snažiť zabezpečiť, aby hostiteľská služba, do ktorej hackeri uložili skopírovanú databázu, ju odstránila.
Odmeny za zoškrabanie odmien začínajú na 500 dolároch a zatiaľ čo škrabanie chýb zahŕňa peňažné výplaty, informácie o zoškrabaných databázach budú udelené vo forme charitatívnych darov neziskovým organizáciám podľa výberu reportérov.
„Pokiaľ je nám známe, toto je prvý bounty program na odstránenie chýb v tomto odvetví,“zhrnula Meta. „Budeme pracovať na tom, aby sme sa zaoberali spätnou väzbou od našich najlepších lovcov odmien, než rozšírime rozsah na väčšie publikum.“