Scraping the Barrel: Meta erweitert sein Bounty-Programm

Meta hat sein Bug-Bounty-Programm erweitert, um Sicherheitsforscher zu belohnen, die neue Wege zur Durchführung von Scraping-Angriffen entdecken, die darauf abzielen, Informationen über Facebook-Benutzer zu sammeln.

„Wir wissen, dass automatisierte Aktivitäten, die darauf abzielen, die öffentlichen und privaten Daten von Menschen auszuspionieren, jede Website oder jeden Dienst zum Ziel haben“, sagt Meta in seinem Bericht Ankündigung. „Wir wissen auch, dass es sich um einen äußerst kontroversen Bereich handelt, in dem Scraper – seien sie böswillig – eingesetzt werden apps, Websites oder Skripte – passen ihre Taktiken ständig an, um einer Entdeckung zu entgehen, als Reaktion auf die Abwehrmaßnahmen, die wir aufbauen und verbessern.“

Also beschloss das Unternehmen, einzuladen Hacker Plus Mitglieder der Gold-, Platin- und Diamant-Ligen können Fehler einreichen, die zum Scrapen von Facebook-Benutzerdaten ausgenutzt werden können. Meta sagt, dass es speziell darum geht, „Bugs zu finden, die es Angreifern ermöglichen, Scraping-Beschränkungen zu umgehen, um in größerem Umfang als vom Produkt beabsichtigt auf Daten zuzugreifen“, damit sie die Kosten ihrer Angriffe minimieren können.

„Nach unserem besten Wissen ist dies das erste Scraping-Bug-Bounty-Programm der Branche“, sagt Meta. „Wir werden daran arbeiten, das Feedback unserer besten Kopfgeldjäger zu berücksichtigen, bevor wir den Umfang auf ein größeres Publikum ausweiten.“

Das Unternehmen belohnt jedoch nicht nur Sicherheitsforscher, die Fehler finden, die für Scraping-Angriffe ausgenutzt werden können. Meta wird auch diejenigen belohnen, die es auf Datensätze aufmerksam machen, die bereits aus seinem Dienst entfernt und der Öffentlichkeit zugänglich gemacht wurden. Auf diese Weise können solche Angriffe verhindert und gleichzeitig die Auswirkungen bereits erfolgten Scrapings abgemildert werden.

Auch diese Erweiterung des Daten-Bounty-Programms unterliegt Einschränkungen. „Wir werden Berichte über ungeschützte oder öffentlich zugängliche Datenbanken mit mindestens 100,000 eindeutigen Facebook-Benutzerdatensätzen mit PII oder sensiblen Daten (z. B. E-Mail, Telefonnummer, physische Adresse, religiöse oder politische Zugehörigkeit) belohnen“, sagt Meta. „Der gemeldete Datensatz muss einzigartig sein und darf nicht zuvor bekannt sein oder an Meta gemeldet werden.“

Das Unternehmen sagt, es werde sich bei Bedarf an Hosting-Anbieter wie Amazon Web Services, Box und Dropbox wenden, um die gelöschten Informationen von ihren Plattformen entfernen zu lassen. Es ist außerdem geplant, den Umfang dieses Programms auf kleinere Informationsmengen auszudehnen, nachdem es Rückmeldungen von Forschern erhalten hat, die diese größeren Datenbestände entdecken und offenlegen.

Meta sagt, dass es Forscher natürlich nicht dazu ermutigen will, Daten selbst zu extrahieren, indem es sie direkt für ihre Offenlegungen bezahlt, sondern stattdessen „gültige Berichte über gesammelte Datensätze in Form von Wohltätigkeitsspenden an gemeinnützige Organisationen nach Wahl unserer Forscher belohnen wird.“ ” Da das Unternehmen die Prämienzahlungen an Wohltätigkeitsorganisationen verdoppelt, fällt der an die gemeinnützigen Organisationen gezahlte Betrag höher aus.