Meta telah memperluas program bug bounty untuk memberi penghargaan kepada peneliti keamanan yang menemukan cara baru untuk melakukan serangan pengikisan yang dirancang untuk mengumpulkan informasi tentang pengguna Facebook.
“Kami tahu bahwa aktivitas otomatis yang dirancang untuk mengikis data publik dan pribadi orang menargetkan setiap situs web atau layanan,” kata Meta dalam pengumuman. “Kami juga tahu bahwa itu adalah ruang yang sangat bermusuhan di mana pencakar — baik itu berbahaya apps, situs web, atau skrip — terus-menerus menyesuaikan taktik mereka untuk menghindari deteksi sebagai respons terhadap pertahanan yang kami bangun dan tingkatkan.”
Jadi perusahaan memutuskan untuk mengundang Peretas Plus anggota di liga Gold, Platinum, dan Diamond untuk mengirimkan bug yang dapat dimanfaatkan untuk mengikis data pengguna Facebook. Meta mengatakan bahwa ini secara khusus “mencari untuk menemukan bug yang memungkinkan penyerang untuk melewati batasan pengikisan untuk mengakses data pada skala yang lebih besar daripada produk yang dimaksudkan,” sehingga mereka dapat meminimalkan biaya serangan mereka.
“Sepengetahuan kami, ini adalah program bounty bug scraping pertama di industri ini,” kata Meta. “Kami akan bekerja untuk mengatasi umpan balik dari pemburu hadiah teratas kami sebelum memperluas cakupan ke audiens yang lebih besar.”
Tetapi perusahaan tidak hanya memberi penghargaan kepada peneliti keamanan yang menemukan bug yang dapat dieksploitasi untuk melakukan serangan pengikisan. Meta juga akan memberi penghargaan kepada mereka yang mengingatkannya pada kumpulan data yang telah dihapus dari layanannya dan tersedia untuk umum. Dengan cara itu dapat bekerja untuk mencegah serangan seperti itu sambil juga mengurangi dampak gesekan yang sudah terjadi.
Perluasan program bounty data ini juga memiliki batasan. “Kami akan menghargai laporan database publik yang tidak dilindungi atau terbuka yang berisi setidaknya 100,000 catatan pengguna Facebook unik dengan PII atau data sensitif (misalnya email, nomor telepon, alamat fisik, afiliasi agama atau politik),” kata Meta. “Dataset yang dilaporkan harus unik dan sebelumnya tidak diketahui atau dilaporkan ke Meta.”
Direkomendasikan oleh Editor Kami
Perusahaan mengatakan akan menghubungi penyedia hosting seperti Amazon Web Services, Box, dan Dropbox yang sesuai untuk menghapus informasi tergores dari platform mereka. Itu juga berencana untuk memperluas cakupan program ini untuk memasukkan sejumlah kecil informasi setelah mendapat umpan balik dari peneliti yang menemukan dan mengungkapkan kumpulan data yang lebih besar ini.
Meta mengatakan tidak ingin mendorong para peneliti untuk mengikis data sendiri dengan membayar mereka secara langsung untuk pengungkapan mereka, tentu saja, jadi sebaliknya akan “menghargai laporan valid dari kumpulan data yang tergores dalam bentuk sumbangan amal untuk organisasi nirlaba yang dipilih peneliti kami. ” Karena perusahaan mencocokkan pembayaran bounty dengan amal, jumlah yang dibayarkan ke nirlaba akan lebih tinggi.
Seperti Apa yang Anda Baca?
Mendaftar untuk Jam Tangan Keamanan buletin untuk kisah privasi dan keamanan teratas kami yang dikirimkan langsung ke kotak masuk Anda.
Buletin ini mungkin berisi iklan, penawaran, atau tautan afiliasi. Berlangganan buletin menunjukkan persetujuan Anda kepada kami Syarat Penggunaan dan Kebijakan Privasi. Anda dapat berhenti berlangganan buletin kapan saja.
English
Arabic
Belarusian
Bengali
Bosnian
Bulgarian
Chinese (Simplified)
Croatian
Czech
Danish
Dutch
English
Estonian
Filipino
Finnish
French
Georgian
German
Greek
Gujarati
Hausa
Hebrew
Hindi
Hmong
Hungarian
Igbo
Indonesian
Italian
Japanese
Javanese
Kazakh
Korean
Kurdish (Kurmanji)
Kyrgyz
Lao
Latvian
Lithuanian
Macedonian
Malagasy
Norwegian
Persian
Polish
Portuguese
Punjabi
Romanian
Russian
Serbian
Slovak
Slovenian
Spanish
Swedish
Thai
Turkish
Ukrainian
Vietnamese
Yoruba