Meta har udvidet sit bug bounty-program for at belønne sikkerhedsforskere, der opdager nye måder at udføre skrabeangreb designet til at indsamle oplysninger om Facebook-brugere.
"Vi ved, at automatiseret aktivitet designet til at skrabe folks offentlige og private data er målrettet mod hver hjemmeside eller tjeneste," siger Meta i sin meddelelse. "Vi ved også, at det er et meget modstridende rum, hvor skrabere - det være sig ondsindede apps, websteder eller scripts – tilpasser konstant deres taktik for at undgå opdagelse som svar på det forsvar, vi bygger og forbedrer."
Så virksomheden besluttede at invitere Hacker Plus medlemmer i guld-, platin- og diamant-ligaerne for at indsende fejl, der kan udnyttes til at skrabe Facebook-brugerdata. Meta siger, at det specifikt "søger at finde fejl, der gør det muligt for angribere at omgå skrabningsbegrænsninger for at få adgang til data i større skala, end produktet tilsigtede," så de kan minimere omkostningerne ved deres angreb.
"Så vidt vi ved, er dette det første skrabe-bug bounty-program i branchen," siger Meta. "Vi vil arbejde på at adressere feedback fra vores bedste dusørjægere, før vi udvider omfanget til et større publikum."
Men virksomheden belønner ikke kun sikkerhedsforskere, der finder fejl, der kan udnyttes til at udføre skrabeangreb. Meta vil også belønne dem, der advarer det om datasæt, der allerede er blevet skrabet fra dets tjeneste og gjort tilgængelige for offentligheden. På den måde kan det arbejde for at forhindre sådanne angreb og samtidig afbøde virkningen af skrabning, der allerede har fundet sted.
Denne udvidelse af databounty-programmet har også begrænsninger. "Vi vil belønne rapporter om ubeskyttede eller åbent offentlige databaser, der indeholder mindst 100,000 unikke Facebook-brugerposter med PII eller følsomme data (f.eks. e-mail, telefonnummer, fysisk adresse, religiøs eller politisk tilhørsforhold)," siger Meta. "Det rapporterede datasæt skal være unikt og ikke tidligere kendt eller rapporteret til Meta."
Anbefalet af vores redaktører
Virksomheden siger, at det vil kontakte hostingudbydere som Amazon Web Services, Box og Dropbox efter behov for at få de skrabede oplysninger fjernet fra deres platforme. Det planlægger også at udvide omfanget af dette program til at omfatte mindre mængder information, efter at det har fået noget feedback fra forskere, der opdager og afslører disse større bunker af data.
Meta siger, at det ikke ønsker at opfordre forskere til selv at skrabe data ved at betale dem direkte for deres afsløringer, så det vil i stedet "belønne gyldige rapporter om skrabet datasæt i form af donationer til velgørende formål til nonprofitorganisationer efter vores forskeres valg. ” Fordi virksomheden matcher dusørudbetalinger til velgørende organisationer, vil det beløb, der betales til non-profitorganisationerne, være højere.
Ligesom hvad du læser?
Tilmeld dig Sikkerhedsvagt nyhedsbrev for vores bedste historier om privatliv og sikkerhed leveret direkte til din indbakke.
Dette nyhedsbrev kan indeholde annoncer, tilbud eller affiliate links. At abonnere på et nyhedsbrev angiver dit samtykke til vores Betingelser for brug , Privatlivspolitik. Du kan til enhver tid afmelde nyhedsbrevene.
English
Arabic
Belarusian
Bengali
Bosnian
Bulgarian
Chinese (Simplified)
Croatian
Czech
Danish
Dutch
English
Estonian
Filipino
Finnish
French
Georgian
German
Greek
Gujarati
Hausa
Hebrew
Hindi
Hmong
Hungarian
Igbo
Indonesian
Italian
Japanese
Javanese
Kazakh
Korean
Kurdish (Kurmanji)
Kyrgyz
Lao
Latvian
Lithuanian
Macedonian
Malagasy
Norwegian
Persian
Polish
Portuguese
Punjabi
Romanian
Russian
Serbian
Slovak
Slovenian
Spanish
Swedish
Thai
Turkish
Ukrainian
Vietnamese
Yoruba