Scraping the Barrel: Meta აფართოებს თავის Bounty პროგრამას

Meta-მ გააფართოვა bug bounty-ის პროგრამა, რათა დააჯილდოვოს უსაფრთხოების მკვლევარები, რომლებიც აღმოაჩენენ ახალ გზებს სკრაპინგის შეტევების განსახორციელებლად, რომლებიც შექმნილია Facebook-ის მომხმარებლების შესახებ ინფორმაციის შესაგროვებლად.

„ჩვენ ვიცით, რომ ავტომატიზირებული აქტივობა, რომელიც შექმნილია ადამიანების საჯარო და პირადი მონაცემების გასაშლელად, მიზნად ისახავს ყველა ვებსაიტს ან სერვისს“, - ნათქვამია Meta-ში. განცხადება. „ჩვენ ასევე ვიცით, რომ ეს არის უაღრესად საპირისპირო სივრცე, სადაც საფხეკები - იქნება ეს მავნე apps, ვებსაიტები ან სკრიპტები — მუდმივად ადაპტირებენ თავიანთ ტაქტიკას, რათა თავიდან ავიცილოთ აღმოჩენის საპასუხოდ ჩვენს მიერ შექმნილ და გაუმჯობესებულ დაცვაზე.

ამიტომ კომპანიამ გადაწყვიტა მოწვევა ჰაკერ პლიუსი Gold, Platinum და Diamond ლიგის წევრებმა წარადგინონ შეცდომები, რომლებიც შეიძლება გამოიყენონ Facebook-ის მომხმარებლის მონაცემების გასასუფთავებლად. Meta ამბობს, რომ ის კონკრეტულად „ეძებს შეცდომების პოვნას, რომლებიც თავდამსხმელებს საშუალებას აძლევს გვერდის ავლით გადალახონ სკრაპინგის შეზღუდვები, რათა მიიღონ მონაცემები უფრო დიდი მასშტაბით, ვიდრე ეს იყო განზრახული პროდუქტი“, რათა მათ შეამცირონ თავდასხმების ღირებულება.

”ჩვენი ცოდნით, ეს არის პირველი სკრაპინგის ხარვეზების ბოუნტი პროგრამა ინდუსტრიაში”, - ამბობს მეტა. ”ჩვენ ვიმუშავებთ, რათა მივმართოთ გამოხმაურებას ჩვენი საუკეთესო ბონუსებზე მონადირეების მხრიდან, სანამ ფართო აუდიტორიაზე გავაფართოვებთ.”

მაგრამ კომპანია არ აჯილდოებს მხოლოდ უსაფრთხოების მკვლევარებს, რომლებიც აღმოაჩენენ შეცდომებს, რომლებიც შეიძლება გამოიყენონ სკრიპინგის შეტევების განსახორციელებლად. Meta ასევე დააჯილდოებს მათ, ვინც მას აფრთხილებს მონაცემთა ნაკრების შესახებ, რომელიც უკვე ამოღებულია მისი სერვისიდან და ხელმისაწვდომი გახდა საზოგადოებისთვის. ამ გზით მას შეუძლია იმუშაოს ასეთი თავდასხმების თავიდან ასაცილებლად და ასევე შეამსუბუქოს უკვე განხორციელებული გახეხვის გავლენა.

მონაცემთა სიკეთის პროგრამის გაფართოებას ასევე აქვს შეზღუდვები. „ჩვენ დავაჯილდოვებთ ანგარიშებს დაუცველი ან ღიად საჯარო მონაცემთა ბაზების შესახებ, რომლებიც შეიცავს მინიმუმ 100,000 XNUMX უნიკალურ Facebook მომხმარებლის ჩანაწერს PII-ით ან სენსიტიური მონაცემებით (მაგ. ელ. ფოსტა, ტელეფონის ნომერი, ფიზიკური მისამართი, რელიგიური ან პოლიტიკური კუთვნილება)“, ამბობს მეტა. „მოხსენებული მონაცემთა ნაკრები უნდა იყოს უნიკალური და ადრე ცნობილი ან მოხსენებული არ არის Meta-სთვის“.

კომპანია ამბობს, რომ დაუკავშირდება ჰოსტინგის პროვაიდერებს, როგორებიცაა Amazon Web Services, Box და Dropbox საჭიროებისამებრ, რათა ამოღებულ იქნეს ამოღებული ინფორმაცია მათი პლატფორმებიდან. ის ასევე გეგმავს ამ პროგრამის ფარგლების გაფართოებას, რათა შეიტანოს უფრო მცირე რაოდენობით ინფორმაცია, მას შემდეგ რაც მიიღება გამოხმაურება მკვლევარებისგან, რომლებიც აღმოაჩენენ და გაამჟღავნებენ ამ უფრო დიდ მონაცემებს.

Meta ამბობს, რომ მას არ სურს მკვლევარების წახალისება, რომ თავად ამოიღონ მონაცემები, რა თქმა უნდა, გადაიხადონ მათ უშუალოდ მათი გამჟღავნების სანაცვლოდ, ამიტომ ის „დაჯილდოვდება ამოღებული მონაცემთა ნაკრების მართებულ ანგარიშებს საქველმოქმედო შემოწირულობების სახით ჩვენი მკვლევარების მიერ არჩეული არაკომერციული ორგანიზაციებისთვის. ” იმის გამო, რომ კომპანია ემთხვევა საქველმოქმედო ფონდებს, არამომგებიანი ორგანიზაციებისთვის გადახდილი თანხა უფრო მაღალი იქნება.