Tünni kraapimine: Meta laiendab oma bounty programmi

Meta on laiendanud oma vearaha programmi, et premeerida turvateadlasi, kes avastavad uusi viise Facebooki kasutajate kohta teabe kogumiseks mõeldud kraapimisrünnakute läbiviimiseks.

"Me teame, et inimeste avalike ja privaatsete andmete kogumiseks mõeldud automatiseeritud tegevus sihib iga veebisaiti või teenust," ütleb Meta. teadaanne. "Me teame ka, et see on väga vastuoluline ruum, kus kaabitsad - olgu need siis pahatahtlikud apps, veebisaidid või skriptid – kohandage pidevalt nende taktikat, et vältida tuvastamist, reageerides meie loodud ja täiustatud kaitsemehhanismidele.

Nii otsustas ettevõte kutsuda Häkker Plus Kuld-, Plaatina- ja Teemantliiga liikmed, et esitada vigu, mida saab ära kasutada Facebooki kasutajaandmete kraapimiseks. Meta ütleb, et see "otsab leida vigu, mis võimaldavad ründajatel mööda minna kraapimispiirangutest, et pääseda andmetele suuremas mahus juurde, kui toode on ette nähtud", et nad saaksid oma rünnakute kulusid minimeerida.

"Meile teadaolevalt on see esimene vigade hüvitamise programm selles valdkonnas," ütleb Meta. "Töötame oma parimate pearahaküttide tagasisidega, enne kui laiendame ulatust suuremale vaatajaskonnale."

Kuid ettevõte ei premeeri mitte ainult turbeteadlasi, kes leiavad vigu, mida saab ära kasutada kraapivate rünnakute läbiviimiseks. Meta premeerib ka neid, kes hoiatavad seda andmekogumite eest, mis on juba tema teenusest välja kraabitud ja avalikkusele kättesaadavaks tehtud. Nii saab see selliseid rünnakuid ära hoida, samal ajal leevendades ka juba toimunud kraapimise mõju.

Sellel andmehaldusprogrammi laiendamisel on ka piirangud. "Premeerime kaitsmata või avalikult avalike andmebaaside aruandeid, mis sisaldavad vähemalt 100,000 XNUMX unikaalset Facebooki kasutajakirjet isikut tuvastavate andmete või tundlike andmetega (nt e-posti aadress, telefoninumber, füüsiline aadress, usuline või poliitiline kuuluvus)," ütleb Meta. "Teatatud andmekogum peab olema kordumatu ja seda ei ole varem Metale teada ega teatatud."

Ettevõte ütleb, et võtab vajadusel ühendust selliste hostiteenuse pakkujatega nagu Amazon Web Services, Box ja Dropbox, et kraabitud teave nende platvormidelt eemaldada. Samuti kavatseb ta selle programmi ulatust laiendada, et hõlmata väiksemaid teabekoguseid pärast seda, kui teadlastelt on saadud tagasisidet, kes avastavad ja avalikustavad need suuremad andmekogud.

Meta ütleb, et ta ei taha julgustada teadlasi ise andmeid kraapima, makstes neile otse nende avalikustamise eest, nii et selle asemel premeerib ta kogutud andmekogumite kehtivate aruannete eest heategevusannetustena meie teadlaste valitud mittetulundusühingutele. ” Kuna ettevõte jagab heategevusorganisatsioonidele väljamakseid, on mittetulundusühingutele makstav summa suurem.