Scraping the Barrel : Meta élargit son programme de primes

Meta a élargi son programme de primes de bogues pour récompenser les chercheurs en sécurité qui découvrent de nouvelles façons de mener des attaques de scraping conçues pour collecter des informations sur les utilisateurs de Facebook.

"Nous savons que l'activité automatisée conçue pour extraire les données publiques et privées des utilisateurs cible chaque site Web ou service", déclare Meta dans son annonce. "Nous savons également qu'il s'agit d'un espace très conflictuel où les grattoirs - qu'ils soient malveillants apps, sites Web ou scripts - adaptent constamment leurs tactiques pour échapper à la détection en réponse aux défenses que nous construisons et améliorons.

L'entreprise a donc décidé d'inviter Hacker Plus membres des ligues Gold, Platinum et Diamond pour soumettre des bogues pouvant être exploités pour récupérer les données des utilisateurs de Facebook. Meta dit qu'il cherche spécifiquement à "trouver des bogues qui permettent aux attaquants de contourner les limitations de scraping pour accéder aux données à une plus grande échelle que le produit prévu", afin qu'ils puissent minimiser le coût de leurs attaques.

"Au meilleur de notre connaissance, il s'agit du premier programme de primes de bogues de grattage dans l'industrie", déclare Meta. "Nous travaillerons pour répondre aux commentaires de nos meilleurs chasseurs de primes avant d'élargir la portée à un public plus large."

Mais l'entreprise ne récompense pas seulement les chercheurs en sécurité qui trouvent des bogues pouvant être exploités pour mener des attaques de scraping. Meta récompensera également ceux qui l'alerteront sur des ensembles de données qui ont déjà été extraits de son service et mis à la disposition du public. De cette façon, il peut fonctionner pour empêcher de telles attaques tout en atténuant l'impact du grattage qui a déjà eu lieu.

Cette extension du programme de primes de données comporte également des restrictions. "Nous récompenserons les rapports de bases de données non protégées ou ouvertement publiques contenant au moins 100,000 XNUMX enregistrements d'utilisateurs Facebook uniques avec des PII ou des données sensibles (par exemple, e-mail, numéro de téléphone, adresse physique, affiliation religieuse ou politique)", a déclaré Meta. "L'ensemble de données signalé doit être unique et non connu ou signalé auparavant à Meta."

La société indique qu'elle contactera des fournisseurs d'hébergement tels qu'Amazon Web Services, Box et Dropbox, le cas échéant, pour que les informations récupérées soient supprimées de leurs plates-formes. Il prévoit également d'élargir la portée de ce programme pour inclure de plus petites quantités d'informations après avoir reçu des commentaires des chercheurs découvrant et divulguant ces plus grandes quantités de données.

Meta dit qu'il ne veut pas encourager les chercheurs à récupérer eux-mêmes les données en les payant directement pour leurs divulgations, bien sûr, il va donc plutôt "récompenser les rapports valides d'ensembles de données récupérés sous la forme de dons caritatifs à des organisations à but non lucratif choisies par nos chercheurs. ” Étant donné que l'entreprise verse des primes aux organismes de bienfaisance, le montant versé aux organismes sans but lucratif sera plus élevé.