स्क्रैपिंग द बैरल: मेटा ने अपने बाउंटी प्रोग्राम का विस्तार किया

मेटा ने सुरक्षा शोधकर्ताओं को पुरस्कृत करने के लिए अपने बग बाउंटी कार्यक्रम का विस्तार किया है, जो फेसबुक उपयोगकर्ताओं के बारे में जानकारी एकत्र करने के लिए डिज़ाइन किए गए स्क्रैपिंग हमलों का संचालन करने के नए तरीके खोजते हैं।

"हम जानते हैं कि लोगों के सार्वजनिक और निजी डेटा को खंगालने के लिए डिज़ाइन की गई स्वचालित गतिविधि हर वेबसाइट या सेवा को लक्षित करती है," मेटा अपने में कहता है घोषणा. "हम यह भी जानते हैं कि यह एक अत्यधिक प्रतिकूल स्थान है जहां स्क्रैपर्स - चाहे वह दुर्भावनापूर्ण हो" apps, वेबसाइटें, या स्क्रिप्ट - हमारे द्वारा बनाए गए और सुधार किए गए बचावों के जवाब में पता लगाने से बचने के लिए लगातार अपनी रणनीति अपनाते हैं। ”

इसलिए कंपनी ने आमंत्रित करने का फैसला किया हैकर प्लस गोल्ड, प्लेटिनम और डायमंड लीग में सदस्य बग सबमिट करने के लिए जिनका उपयोग फेसबुक उपयोगकर्ता डेटा को स्क्रैप करने के लिए किया जा सकता है। मेटा का कहना है कि यह विशेष रूप से "बग खोजने की तलाश में है जो हमलावरों को उत्पाद के उद्देश्य से अधिक पैमाने पर डेटा तक पहुंचने के लिए स्क्रैपिंग सीमाओं को बाईपास करने में सक्षम बनाता है," ताकि वे अपने हमलों की लागत को कम कर सकें।

"हमारे सर्वोत्तम ज्ञान के लिए, यह उद्योग में पहला स्क्रैपिंग बग बाउंटी प्रोग्राम है," मेटा कहते हैं। "हम अधिक से अधिक दर्शकों के लिए दायरे का विस्तार करने से पहले अपने शीर्ष बाउंटी हंटर्स से प्रतिक्रिया को संबोधित करने के लिए काम करेंगे।"

लेकिन कंपनी न केवल उन सुरक्षा शोधकर्ताओं को पुरस्कृत कर रही है जो ऐसे बग ढूंढते हैं जिनका उपयोग स्क्रैपिंग हमलों को करने के लिए किया जा सकता है। मेटा उन लोगों को भी पुरस्कृत करेगा जो इसे डेटा सेट के प्रति सचेत करते हैं जिन्हें पहले ही इसकी सेवा से हटा दिया गया है और जनता के लिए उपलब्ध कराया गया है। इस तरह यह पहले से हो चुके स्क्रैपिंग के प्रभाव को कम करने के साथ-साथ ऐसे हमलों को रोकने के लिए काम कर सकता है।

इस डेटा इनाम कार्यक्रम के विस्तार पर भी प्रतिबंध हैं। "हम असुरक्षित या खुले तौर पर सार्वजनिक डेटाबेस की रिपोर्ट को पीआईआई या संवेदनशील डेटा (जैसे ईमेल, फोन नंबर, भौतिक पता, धार्मिक या राजनीतिक संबद्धता) के साथ कम से कम 100,000 अद्वितीय फेसबुक उपयोगकर्ता रिकॉर्ड वाले पुरस्कृत करेंगे," मेटा कहते हैं। "रिपोर्ट किया गया डेटासेट अद्वितीय होना चाहिए और मेटा को पहले से ज्ञात या रिपोर्ट नहीं किया जाना चाहिए।"

कंपनी का कहना है कि वह अमेज़ॅन वेब सर्विसेज, बॉक्स और ड्रॉपबॉक्स जैसे होस्टिंग प्रदाताओं से संपर्क करेगी, ताकि उनके प्लेटफॉर्म से स्क्रैप की गई जानकारी को हटा दिया जा सके। यह इस कार्यक्रम के दायरे का विस्तार करने की भी योजना बना रहा है ताकि डेटा के इन बड़े ट्रोव्स की खोज और खुलासा करने वाले शोधकर्ताओं से कुछ प्रतिक्रिया मिलने के बाद छोटी मात्रा में जानकारी शामिल हो सके।

मेटा का कहना है कि यह शोधकर्ताओं को अपने खुलासे के लिए सीधे भुगतान करके डेटा को स्वयं स्क्रैप करने के लिए प्रोत्साहित नहीं करना चाहता है, इसलिए यह इसके बजाय "हमारे शोधकर्ताओं के चयन के गैर-लाभकारी संस्थाओं को दान दान के रूप में स्क्रैप किए गए डेटासेट की वैध रिपोर्ट को पुरस्कृत करेगा। " क्योंकि कंपनी दान के लिए इनामी भुगतान का मिलान करती है, गैर-लाभ के लिए भुगतान की गई राशि अधिक होगी।