Klíčové poznatky
- Meta rozšířila svůj bug bounty program, aby posílila svou platformu a uživatele proti škrabákům dat.
- Seškrabování dat vedlo k tomu, že hackeři v minulosti shromáždili informace o více než 300 milionech uživatelů.
-
Meta tvrdí, že je první, kdo odměňuje výzkumníky za jejich pomoc při vládnutí ve sběru dat.
Překvapilo by vás, že automatizované programy procházejí platformami sociálních médií, jako je Facebook, shromažďují jakékoli veřejně dostupné informace a shromažďují je v databázích? Jednotlivé informace nemusí být příliš užitečné, ale společně mohou hackerům umožnit páchat všechny druhy digitálních zločinů, jako jsou krádeže pověření a phishingové útoky. A Meta už toho má dost.
Zatímco samotná sociální síť podniká kroky k zachycení a omezení těchto automatizovaných programů nazývaných scrapers, platforma se nyní rozhodla získat pomoc nezávislých bezpečnostních výzkumníků rozšířením svých programů odměňování chyb. Jeho cílem je nejen opravit chyby, které unikají takové podrobnosti o jeho uživatelích, ale také pomoci najít takové databáze, které obsahují seškrabované informace.
„Program bug bounty pomůže zaplnit mezery v obraně Facebooku proti scrapingu a upozorní Meta na seškrábané databáze, které se objeví na webu,“řekl Lifewire e-mailem Paul Bischoff, obhájce ochrany osobních údajů a editor výzkumného centra Infosec Comparitech..
Scraping Menace
Meta označila scraping za „internetovou výzvu“, když oznámila rozšíření svého bug bounty programu, který byl původně navržen tak, aby našel softwarové závady v kódu, který pohání platformu.
Podle Bischoffa mnoho platforem zakázalo používání scraperů, a to i pro informace, které drží a které jsou veřejně přístupné. Je to proto, že osobní identifikační údaje (PII), jako jsou uživatelská jména, data narození, e-mailové adresy a poloha, jsou často používány špatnými herci k cílení na uživatele v propracovaných kampaních sociálního inženýrství.
Program bug bounty pomůže vyplnit mezery v obraně Facebooku proti scrapingu a upozorní Meta na poškrábané databáze…
Bischoff však dodává, že Facebook má potíže s rozlišením mezi scrapery a legitimními uživateli, což v minulosti vedlo k obrovským únikům dat. Konkrétně poukazuje na únik informací, který se objevil v březnu 2020, kdy se Comparitech spojil s bezpečnostním výzkumníkem Bobem Diachenkem a objevil databázi obsahující uživatelská ID a telefonní čísla více než 300 milionů uživatelů Facebooku.
Ale škrábání není přímo nezákonné – v nejlepším případě existuje v techno-legální šedé zóně, protože má také legitimní využití.
„I když je seškrabování proti podmínkám používání Facebooku, není přísně nezákonné. Některé operace seškrabávání jsou škodlivé, ale jiné jsou akademické nebo novinářské,“objasnil Bischoff.
Chci DOA
Ve svém oznámení o rozšíření programu odměn za chyby Facebook zmínil, že od svého vzniku iniciativa zaměřená na odměny za chyby udělila více než 800 odměn v celkové výši přes 2,3 milionu dolarů výzkumníkům z více než 46 zemí. Řešení „nových výzev“, jako je škrábání, bylo přirozeným rozšířením programu.
I když je scraping v rozporu s podmínkami použití Facebooku, není přísně nezákonný.
Podle společnosti Meta bude rozšířený program odměn za chyby odměňovat bezpečnostní výzkumníky na dvou frontách.
Zaprvé, jako součást své širší bezpečnostní strategie, která má ztížit a „zdražit“škrabání pro aktéry hrozeb, bude Meta udělovat zprávy o chybách ve své platformě, které mohou špatní aktéři zneužít k obcházení bariér, které vytvořila, aby odradili škrabání.
Zadruhé, platforma uvedla, že také udělí odměny lovcům odměn za data, kteří ji informují o nechráněných databázích dostupných online, které obsahují seškrábané PII alespoň 100 000 unikátních uživatelů Facebooku.
Pokud potvrdíme, že uživatel PII byl seškrábán a je nyní k dispozici online na jiných stránkách než Meta, budeme pracovat na přijetí vhodných opatření, která mohou zahrnovat spolupráci s příslušným subjektem na odstranění souboru dat nebo hledání právních prostředků abychom pomohli zajistit vyřešení problému, “poznamenal Meta v oznámení.
Dodal, že pokud by seškrábání bylo způsobeno špatnou konfigurací v aplikaci externího vývojáře, platforma by spolupracovala s vývojářem na zakrytí úniku. Na druhou stranu se také bude snažit zajistit, aby hostingová služba, kam hackeři umístili seškrabanou databázi, ji stáhla.
Odměny za seškrabovací odměny začínají na 500 dolarech, a zatímco škrabání chyb vyžaduje peněžní výplaty, informace o seškrábaných databázích budou uděleny ve formě charitativních darů neziskovým organizacím dle výběru reportérů.
„Podle našich nejlepších znalostí je toto první odměna za odstranění chyb v oboru,“shrnula Meta. „Budeme pracovat na řešení zpětné vazby od našich nejlepších lovců odměn, než rozšíříme záběr na širší publikum.“
