バレルをこする：メタはその報奨金プログラムを拡大します

Metaは、Facebookユーザーに関する情報を収集するように設計されたスクレイピング攻撃を実行する新しい方法を発見したセキュリティ研究者に報いるために、バグ報奨金プログラムを拡張しました。

「人々のパブリックデータとプライベートデータをスクレイピングするように設計された自動化されたアクティビティは、すべてのWebサイトまたはサービスを対象としていることを私たちは知っています」とMetaは 発表。 「また、スクレーパーが悪意のある場所であるという非常に敵対的なスペースであることもわかっています。 apps、Webサイト、またはスクリプト—構築および改善する防御に応じて、検出を回避するために常に戦術を適応させます。」

そこで会社は招待することにしました ハッカープラス ゴールド、プラチナ、ダイアモンドリーグのメンバーは、Facebookユーザーデータをスクレイピングするために悪用される可能性のあるバグを送信します。 Metaは、特に「攻撃者がスクレイピングの制限を回避して、製品が意図するよりも大規模にデータにアクセスできるようにするバグを見つけることを目指している」と述べているため、攻撃のコストを最小限に抑えることができます。

「私たちの知る限り、これは業界で最初のスクレイピングバグ報奨金プログラムです」とメタ氏は言います。 「私たちは、より多くの聴衆に範囲を拡大する前に、トップバウンティハンターからのフィードバックに対処するよう努めます。」

しかし、同社は、スクレイピング攻撃を実行するために悪用される可能性のあるバグを見つけたセキュリティ研究者に報いるだけではありません。 Metaはまた、サービスからすでに削除されて一般に公開されているデータセットについてアラートを出した人に報酬を与えます。 そうすれば、すでに行われているスクレイピングの影響を軽減しながら、そのような攻撃を防ぐことができます。

このデータ報奨金プログラムの拡張にも制限があります。 「私たちは、PIIまたは機密データ（電子メール、電話番号、住所、宗教的または政治的所属など）を含む少なくとも100,000の一意のFacebookユーザーレコードを含む保護されていないまたは公に公開されたデータベースのレポートに報酬を与えます」とメタは言います。 「報告されるデータセットは一意である必要があり、以前に既知であるか、Metaに報告されていない必要があります。」

同社によれば、Amazon Web Services、Box、Dropboxなどのホスティングプロバイダーに適切に連絡して、スクレイピングされた情報をプラットフォームから削除してもらう予定です。 また、このプログラムの範囲を拡大して、これらの大量のデータを発見して開示した研究者からフィードバックを得た後、少量の情報を含めることも計画しています。

もちろん、メタは、データの開示に対して直接支払うことでデータをスクレイピングすることを研究者に奨励したくないと述べています。そのため、代わりに「スクレイピングされたデータセットの有効なレポートを、研究者が選択した非営利団体への慈善寄付の形で報奨します。 」 会社は賞金の支払いを慈善団体に一致させるため、非営利団体に支払われる金額は高くなります。