Meta rozšířila svůj bug bounty program, aby odměňovala bezpečnostní výzkumníky, kteří objevili nové způsoby provádění scrapingových útoků určených ke sběru informací o uživatelích Facebooku.
„Víme, že automatizovaná aktivita navržená tak, aby sbírala veřejná a soukromá data lidí, se zaměřuje na každý web nebo službu,“ říká Meta oznámení. "Také víme, že je to vysoce nepřátelský prostor, kde jsou škrabky - ať už jsou to zlomyslné." apps, webové stránky nebo skripty – neustále přizpůsobují svou taktiku, aby se vyhnuli detekci v reakci na obranu, kterou budujeme a zlepšujeme.“
Společnost se tedy rozhodla pozvat Hacker Plus členům zlaté, platinové a diamantové ligy, aby zasílali chyby, které lze zneužít k seškrábání uživatelských dat Facebooku. Meta říká, že konkrétně „hledá najít chyby, které útočníkům umožní obejít omezení scrapingu a získat přístup k datům ve větším měřítku, než zamýšlel produkt“, aby mohli minimalizovat náklady na své útoky.
„Podle našich nejlepších znalostí jde o první odměnu za odstranění chyb v oboru,“ říká Meta. "Budeme pracovat na řešení zpětné vazby od našich nejlepších lovců odměn, než rozšíříme záběr na širší publikum."
Společnost však neodměňuje pouze bezpečnostní výzkumníky, kteří najdou chyby, které lze zneužít k provádění seškrabovacích útoků. Meta také odmění ty, kteří ji upozorní na datové sady, které již byly z její služby seškrábnuty a zpřístupněny veřejnosti. Tímto způsobem může zabránit takovým útokům a zároveň zmírnit dopad škrábání, ke kterému již došlo.
Toto rozšíření datového bounty programu má také omezení. „Odměníme zprávy o nechráněných nebo otevřeně veřejných databázích obsahujících alespoň 100,000 XNUMX unikátních záznamů uživatelů Facebooku s PII nebo citlivými údaji (např. e-mail, telefonní číslo, fyzická adresa, náboženská nebo politická příslušnost),“ říká Meta. "Hlášená datová sada musí být jedinečná a nesmí být dříve známa ani hlášena Meta."
Doporučeno našimi redaktory
Společnost říká, že bude podle potřeby kontaktovat poskytovatele hostingu, jako jsou Amazon Web Services, Box a Dropbox, aby odstranili seškrábané informace z jejich platforem. Plánuje také rozšířit rozsah tohoto programu tak, aby zahrnoval menší množství informací poté, co získá zpětnou vazbu od výzkumníků, kteří objevili a zveřejnili tyto větší zásoby dat.
Meta říká, že nechce povzbuzovat výzkumníky, aby si data sami seškrábali tím, že jim budou přímo platit za jejich zveřejnění, samozřejmě, takže místo toho „odmění platné zprávy o seškrábaných souborech dat ve formě charitativních darů neziskovým organizacím, které si naši výzkumníci vyberou. “ Protože společnost přiřazuje výplaty odměn charitativním organizacím, částka vyplacená neziskovým organizacím bude vyšší.
Jako Co čtete?
Zaregistrujte se Bezpečnostní hlídka newsletter pro naše nejlepší příběhy o ochraně soukromí a zabezpečení doručené přímo do vaší schránky.
Tento newsletter může obsahovat reklamy, nabídky nebo přidružené odkazy. Přihlášením k odběru newsletteru vyjadřujete svůj souhlas s naším Podmínky použití a Zásady ochrany osobních údajů. Z odběru newsletterů se můžete kdykoli odhlásit.
English
Arabic
Belarusian
Bengali
Bosnian
Bulgarian
Chinese (Simplified)
Croatian
Czech
Danish
Dutch
English
Estonian
Filipino
Finnish
French
Georgian
German
Greek
Gujarati
Hausa
Hebrew
Hindi
Hmong
Hungarian
Igbo
Indonesian
Italian
Japanese
Javanese
Kazakh
Korean
Kurdish (Kurmanji)
Kyrgyz
Lao
Latvian
Lithuanian
Macedonian
Malagasy
Norwegian
Persian
Polish
Portuguese
Punjabi
Romanian
Russian
Serbian
Slovak
Slovenian
Spanish
Swedish
Thai
Turkish
Ukrainian
Vietnamese
Yoruba