Scraping the Barrel: Meta Expands Its Bounty Program

Η Meta επέκτεινε το πρόγραμμα επιβράβευσης σφαλμάτων για να ανταμείψει τους ερευνητές ασφάλειας που ανακαλύπτουν νέους τρόπους διεξαγωγής επιθέσεων απόξεσης που έχουν σχεδιαστεί για τη συλλογή πληροφοριών σχετικά με τους χρήστες του Facebook.

«Γνωρίζουμε ότι η αυτοματοποιημένη δραστηριότητα που έχει σχεδιαστεί για την απόξεση των δημόσιων και ιδιωτικών δεδομένων των ανθρώπων στοχεύει κάθε ιστότοπο ή υπηρεσία», λέει η Meta στο ανακοίνωση. «Γνωρίζουμε επίσης ότι είναι ένας άκρως αντίπαλος χώρος όπου ξύστρες — είτε είναι κακόβουλοι apps, ιστότοπους ή σενάρια — προσαρμόζουν συνεχώς τις τακτικές τους για να αποφεύγουν τον εντοπισμό ως απάντηση στις άμυνες που χτίζουμε και βελτιώνουμε».

Έτσι η εταιρεία αποφάσισε να προσκαλέσει Hacker Plus μέλη στα πρωταθλήματα Gold, Platinum και Diamond να υποβάλουν σφάλματα που μπορούν να αξιοποιηθούν για την απόρριψη δεδομένων χρηστών του Facebook. Η Meta λέει ότι «ψάχνει συγκεκριμένα να βρει σφάλματα που επιτρέπουν στους εισβολείς να παρακάμψουν τους περιορισμούς απόξεσης για πρόσβαση σε δεδομένα σε μεγαλύτερη κλίμακα από το προβλεπόμενο προϊόν», ώστε να μπορούν να ελαχιστοποιήσουν το κόστος των επιθέσεών τους.

«Από όσο γνωρίζουμε, αυτό είναι το πρώτο πρόγραμμα επιβράβευσης σφαλμάτων απόξεσης στον κλάδο», λέει ο Meta. «Θα εργαστούμε για να αντιμετωπίσουμε τα σχόλια από τους κορυφαίους κυνηγούς επικηρυγμένων μας πριν επεκτείνουμε το εύρος σε μεγαλύτερο κοινό».

Αλλά η εταιρεία δεν επιβραβεύει μόνο τους ερευνητές ασφαλείας που βρίσκουν σφάλματα που μπορούν να εκμεταλλευτούν για τη διεξαγωγή επιθέσεων απόξεσης. Η Meta θα ανταμείψει επίσης όσους την ειδοποιούν για σύνολα δεδομένων που έχουν ήδη αφαιρεθεί από την υπηρεσία της και έχουν γίνει διαθέσιμα στο κοινό. Με αυτόν τον τρόπο μπορεί να λειτουργήσει για την πρόληψη τέτοιων επιθέσεων, ενώ ταυτόχρονα μετριάζει τον αντίκτυπο της απόξεσης που έχει ήδη πραγματοποιηθεί.

Αυτή η επέκταση προγράμματος bounty δεδομένων έχει επίσης περιορισμούς. «Θα επιβραβεύσουμε αναφορές απροστάτευτων ή ανοιχτά δημόσιων βάσεων δεδομένων που περιέχουν τουλάχιστον 100,000 μοναδικά αρχεία χρηστών του Facebook με PII ή ευαίσθητα δεδομένα (π.χ. email, αριθμός τηλεφώνου, φυσική διεύθυνση, θρησκευτικές ή πολιτικές πεποιθήσεις)», λέει ο Meta. "Το αναφερόμενο σύνολο δεδομένων πρέπει να είναι μοναδικό και να μην είναι προηγουμένως γνωστό ή αναφερόμενο στη Meta."

Η εταιρεία λέει ότι θα επικοινωνήσει με τους παρόχους φιλοξενίας, όπως το Amazon Web Services, το Box και το Dropbox, ανάλογα με την περίπτωση, για να αφαιρεθούν οι αποκομμένες πληροφορίες από τις πλατφόρμες τους. Σχεδιάζει επίσης να επεκτείνει το εύρος αυτού του προγράμματος ώστε να συμπεριλάβει μικρότερο όγκο πληροφοριών αφού λάβει κάποια σχόλια από ερευνητές που ανακαλύπτουν και αποκαλύπτουν αυτά τα μεγαλύτερα θησαυροφυλάκια δεδομένων.

Η Meta λέει ότι δεν θέλει να ενθαρρύνει τους ερευνητές να σκουπίζουν τα δεδομένα οι ίδιοι, πληρώνοντάς τους απευθείας για τις αποκαλύψεις τους, βεβαίως, επομένως θα «ανταμείψει έγκυρες αναφορές αποκομμένων συνόλων δεδομένων με τη μορφή φιλανθρωπικών δωρεών σε μη κερδοσκοπικούς οργανισμούς της επιλογής των ερευνητών μας. ” Επειδή η εταιρεία αντιστοιχίζει τις πληρωμές επιχορηγήσεων με φιλανθρωπικά ιδρύματα, το ποσό που καταβάλλεται στους μη κερδοσκοπικούς οργανισμούς θα είναι υψηλότερο.