Scraping the Barrel: Meta amplía su programa de recompensas

Meta ha ampliado su programa de recompensas por errores para recompensar a los investigadores de seguridad que descubren nuevas formas de realizar ataques de raspado diseñados para recopilar información sobre los usuarios de Facebook.

"Sabemos que la actividad automatizada diseñada para raspar los datos públicos y privados de las personas apunta a cada sitio web o servicio", dice Meta en su anuncio. “También sabemos que es un espacio altamente conflictivo donde los raspadores, ya sean maliciosos apps, sitios web o scripts: adaptan constantemente sus tácticas para evadir la detección en respuesta a las defensas que construimos y mejoramos”.

Así que la empresa decidió invitar Hacker Plus miembros de las ligas Oro, Platino y Diamante para enviar errores que pueden explotarse para extraer datos de usuarios de Facebook. Meta dice que está específicamente "buscando encontrar errores que permitan a los atacantes eludir las limitaciones de raspado para acceder a los datos a una escala mayor que la prevista por el producto", para que puedan minimizar el costo de sus ataques.

“Hasta donde sabemos, este es el primer programa de recompensas por eliminación de errores en la industria”, dice Meta. “Trabajaremos para abordar los comentarios de nuestros principales cazarrecompensas antes de expandir el alcance a una audiencia mayor”.

Pero la compañía no solo recompensa a los investigadores de seguridad que encuentran errores que pueden explotarse para realizar ataques de raspado. Meta también recompensará a quienes lo alerten sobre conjuntos de datos que ya se han extraído de su servicio y se han puesto a disposición del público. De esa manera, puede funcionar para prevenir tales ataques y, al mismo tiempo, mitigar el impacto del raspado que ya se ha producido.

Esta expansión del programa de recompensas de datos también tiene restricciones. “Recompensaremos los informes de bases de datos desprotegidas o abiertamente públicas que contengan al menos 100,000 XNUMX registros únicos de usuarios de Facebook con PII o datos confidenciales (por ejemplo, correo electrónico, número de teléfono, dirección física, afiliación religiosa o política)”, dice Meta. “El conjunto de datos informado debe ser único y no conocido o informado previamente a Meta”.

La compañía dice que se comunicará con los proveedores de alojamiento como Amazon Web Services, Box y Dropbox, según corresponda, para que eliminen la información extraída de sus plataformas. También planea expandir el alcance de este programa para incluir cantidades más pequeñas de información después de recibir algunos comentarios de los investigadores que descubren y divulgan estos grandes tesoros de datos.

Meta dice que no quiere alentar a los investigadores a extraer datos ellos mismos pagándoles directamente por sus divulgaciones, por supuesto, por lo que, en cambio, "recompensará los informes válidos de conjuntos de datos extraídos en forma de donaciones benéficas a organizaciones sin fines de lucro elegidas por nuestros investigadores". ” Debido a que la empresa iguala los pagos de recompensas a las organizaciones benéficas, la cantidad pagada a las organizaciones sin fines de lucro será mayor.