Scraping the Barrel: Meta برنامه Bounty خود را گسترش می دهد

متا برنامه پاداش باگ خود را برای پاداش دادن به محققان امنیتی که راه‌های جدیدی برای انجام حملات خراش‌دهنده برای جمع‌آوری اطلاعات کاربران فیس‌بوک کشف می‌کنند، گسترش داده است.

متا در خود می‌گوید: «ما می‌دانیم که فعالیت خودکار طراحی‌شده برای حذف داده‌های عمومی و خصوصی افراد، هر وب‌سایت یا سرویسی را هدف قرار می‌دهد. خبر. ما همچنین می دانیم که این یک فضای بسیار متخاصم است که در آن خراش دهنده ها - چه مخرب باشد appsوب‌سایت‌ها یا اسکریپت‌ها — دائماً تاکتیک‌های خود را برای فرار از شناسایی در پاسخ به دفاعی که می‌سازیم و بهبود می‌دهیم، تطبیق می‌دهند.

بنابراین شرکت تصمیم گرفت دعوت کند هکر پلاس اعضای لیگ های طلایی، پلاتینیوم و الماس برای ارسال اشکالاتی که می توانند برای خراش دادن داده های کاربران فیس بوک مورد سوء استفاده قرار گیرند. متا می گوید که به طور خاص "به دنبال یافتن اشکالاتی است که مهاجمان را قادر می سازد محدودیت های خراش را برای دسترسی به داده ها در مقیاسی بزرگتر از محصول مورد نظر دور بزنند" تا بتوانند هزینه حملات خود را به حداقل برسانند.

متا می‌گوید: «تا جایی که ما می‌دانیم، این اولین برنامه جایزه خراش باگ در صنعت است. ما تلاش خواهیم کرد تا قبل از اینکه دامنه را به مخاطبان بیشتری گسترش دهیم، به بازخوردهای شکارچیان برتر خود پاسخ دهیم.

اما این شرکت تنها به محققان امنیتی که اشکالاتی را پیدا می کنند که می توانند برای انجام حملات خراش استفاده شوند، پاداش نمی دهد. متا همچنین به کسانی که به مجموعه داده‌هایی که قبلاً از سرویس آن حذف شده و در دسترس عموم قرار گرفته‌اند، هشدار می‌دهد. به این ترتیب می‌تواند برای جلوگیری از چنین حملاتی کار کند و در عین حال تأثیر خراش‌هایی که قبلاً انجام شده را نیز کاهش می‌دهد.

این بسط برنامه پاداش داده محدودیت هایی نیز دارد. متا می‌گوید: «ما به گزارش‌های پایگاه‌های اطلاعاتی محافظت‌نشده یا آشکارا عمومی که حاوی حداقل 100,000 سوابق منحصربه‌فرد کاربر فیس‌بوک با PII یا داده‌های حساس (مانند ایمیل، شماره تلفن، آدرس فیزیکی، وابستگی‌های مذهبی یا سیاسی) هستند، پاداش می‌دهیم. مجموعه داده گزارش شده باید منحصر به فرد باشد و قبلاً شناخته شده یا به Meta گزارش نشده باشد.

این شرکت می‌گوید با ارائه‌دهندگان میزبانی مانند Amazon Web Services، Box و Dropbox در صورت لزوم تماس خواهد گرفت تا اطلاعات خراش‌شده از پلتفرم‌هایشان حذف شود. همچنین در حال برنامه‌ریزی برای گسترش دامنه این برنامه است تا پس از دریافت بازخورد از محققان در کشف و افشای این مجموعه‌های بزرگتر اطلاعات، حجم کمتری از اطلاعات را شامل شود.

متا می‌گوید که نمی‌خواهد با پرداخت مستقیم به آنها برای افشای اطلاعات، محققان را تشویق کند که خودشان داده‌ها را خراش دهند، بنابراین در عوض «به گزارش‌های معتبر مجموعه داده‌های خراش‌شده در قالب کمک‌های خیریه به سازمان‌های غیرانتفاعی به انتخاب محققان ما پاداش می‌دهد. ” از آنجایی که شرکت انعام انعام را با موسسات خیریه منطبق می کند، مبلغ پرداختی به غیرانتفاعی بیشتر خواهد بود.