Scraping the Barrel: Meta ຂະຫຍາຍໂຄງການ Bounty ຂອງຕົນ

Meta ໄດ້ຂະຫຍາຍໂຄງການ bug bounty ຂອງຕົນເພື່ອໃຫ້ລາງວັນນັກຄົ້ນຄວ້າຄວາມປອດໄພທີ່ຄົ້ນພົບວິທີໃຫມ່ເພື່ອດໍາເນີນການໂຈມຕີຂູດທີ່ຖືກອອກແບບເພື່ອເກັບກໍາຂໍ້ມູນກ່ຽວກັບຜູ້ໃຊ້ Facebook.

"ພວກເຮົາຮູ້ວ່າກິດຈະກໍາອັດຕະໂນມັດທີ່ຖືກອອກແບບມາເພື່ອຂູດຂໍ້ມູນສາທາລະນະແລະເອກະຊົນຂອງປະຊາຊົນເປົ້າຫມາຍທຸກເວັບໄຊທ໌ຫຼືບໍລິການ," Meta ເວົ້າໃນມັນ. ປະກາດ. “ພວກ​ເຮົາ​ຍັງ​ຮູ້​ວ່າ​ມັນ​ເປັນ​ຊ່ອງ​ທີ່​ມີ​ຄວາມ​ຂັດ​ແຍ່ງ​ກັນ​ສູງ​ທີ່​ພວກ​ຂູດ​ຮີດ — ມັນ​ເປັນ​ອັນ​ຕະ​ລາຍ apps, ເວັບໄຊທ໌, ຫຼືສະຄິບ - ປັບຕົວຢ່າງຕໍ່ເນື່ອງເພື່ອຫລີກລ້ຽງການກວດພົບເພື່ອຕອບສະຫນອງການປ້ອງກັນທີ່ພວກເຮົາສ້າງແລະປັບປຸງ."

ດັ່ງນັ້ນບໍລິສັດຈຶ່ງຕັດສິນໃຈເຊີນ ແຮກເກີບວກ ສະມາຊິກໃນລີກ Gold, Platinum, ແລະ Diamonds ເພື່ອສົ່ງຂໍ້ບົກພ່ອງທີ່ສາມາດຂູດຮີດຂໍ້ມູນຜູ້ໃຊ້ Facebook. Meta ກ່າວວ່າມັນໂດຍສະເພາະ "ຊອກຫາຂໍ້ບົກພ່ອງທີ່ເຮັດໃຫ້ຜູ້ໂຈມຕີສາມາດຂ້າມຂໍ້ຈໍາກັດການຂູດຂໍ້ມູນເພື່ອເຂົ້າເຖິງຂໍ້ມູນໃນລະດັບທີ່ສູງກວ່າຜະລິດຕະພັນທີ່ຕັ້ງໄວ້," ດັ່ງນັ້ນພວກເຂົາສາມາດຫຼຸດຜ່ອນຄ່າໃຊ້ຈ່າຍໃນການໂຈມຕີຂອງພວກເຂົາ.

"ເພື່ອທີ່ດີທີ່ສຸດຂອງຄວາມຮູ້ຂອງພວກເຮົາ, ນີ້ແມ່ນໂຄງການ bounty bug scraping ທໍາອິດໃນອຸດສາຫະກໍາ," Meta ເວົ້າ. "ພວກເຮົາຈະເຮັດວຽກເພື່ອແກ້ໄຂຄໍາຕິຊົມຈາກນັກລ່າເງິນລາງວັນອັນດັບຕົ້ນຂອງພວກເຮົາກ່ອນທີ່ຈະຂະຫຍາຍຂອບເຂດໄປສູ່ຜູ້ຊົມຫຼາຍກວ່າເກົ່າ."

ແຕ່ບໍລິສັດບໍ່ພຽງແຕ່ໃຫ້ລາງວັນແກ່ນັກຄົ້ນຄວ້າຄວາມປອດໄພທີ່ຊອກຫາແມງໄມ້ທີ່ສາມາດຖືກຂູດຮີດເພື່ອດໍາເນີນການໂຈມຕີຂູດ. Meta ຍັງຈະໃຫ້ລາງວັນຜູ້ທີ່ເຕືອນມັນຕໍ່ກັບຊຸດຂໍ້ມູນທີ່ຖືກຂູດຂີ້ເຫຍື້ອຈາກການບໍລິການຂອງມັນແລະເປີດເຜີຍຕໍ່ສາທາລະນະ. ວິທີນັ້ນມັນສາມາດເຮັດວຽກເພື່ອປ້ອງກັນການໂຈມຕີດັ່ງກ່າວໃນຂະນະທີ່ຍັງຫຼຸດຜ່ອນຜົນກະທົບຂອງການຂູດຂີ້ເຫຍື້ອທີ່ໄດ້ເກີດຂຶ້ນແລ້ວ.

ການຂະຫຍາຍໂຄງການ bounty ຂໍ້ມູນນີ້ຍັງມີຂໍ້ຈໍາກັດ. "ພວກເຮົາຈະໃຫ້ລາງວັນການລາຍງານຂອງຖານຂໍ້ມູນສາທາລະນະທີ່ບໍ່ມີການປົກປ້ອງຫຼືເປີດເຜີຍທີ່ມີຢ່າງຫນ້ອຍ 100,000 ບັນທຶກຜູ້ໃຊ້ Facebook ທີ່ເປັນເອກະລັກທີ່ມີ PII ຫຼືຂໍ້ມູນລະອຽດອ່ອນ (ເຊັ່ນ: ອີເມວ, ເບີໂທລະສັບ, ທີ່ຢູ່ທາງດ້ານຮ່າງກາຍ, ສາດສະຫນາຫຼືທາງດ້ານການເມືອງ)," Meta ເວົ້າ. "ຊຸດຂໍ້ມູນທີ່ຖືກລາຍງານຕ້ອງເປັນເອກະລັກແລະບໍ່ເຄີຍຮູ້ຈັກຫຼືລາຍງານໃຫ້ Meta."

ບໍລິສັດກ່າວວ່າມັນຈະຕິດຕໍ່ກັບຜູ້ໃຫ້ບໍລິການໂຮດຕິ້ງເຊັ່ນ Amazon Web Services, Box, ແລະ Dropbox ຕາມຄວາມເຫມາະສົມເພື່ອໃຫ້ຂໍ້ມູນທີ່ຖືກຂູດອອກຈາກເວທີຂອງພວກເຂົາ. ມັນຍັງວາງແຜນທີ່ຈະຂະຫຍາຍຂອບເຂດຂອງໂຄງການນີ້ເພື່ອລວມເອົາຂໍ້ມູນຈໍານວນນ້ອຍລົງຫຼັງຈາກທີ່ມັນໄດ້ຮັບຄໍາຄຶດຄໍາເຫັນບາງຢ່າງຈາກນັກຄົ້ນຄວ້າຄົ້ນພົບແລະເປີດເຜີຍຂໍ້ມູນຂະຫນາດໃຫຍ່ເຫຼົ່ານີ້.

Meta ກ່າວວ່າມັນບໍ່ຕ້ອງການທີ່ຈະຊຸກຍູ້ໃຫ້ນັກຄົ້ນຄວ້າຂູດຂໍ້ມູນດ້ວຍຕົນເອງໂດຍການຈ່າຍໃຫ້ພວກເຂົາໂດຍກົງສໍາລັບການເປີດເຜີຍຂອງພວກເຂົາ, ແນ່ນອນ, ດັ່ງນັ້ນມັນຈະເປັນ "ລາງວັນການລາຍງານທີ່ຖືກຕ້ອງຂອງຊຸດຂໍ້ມູນທີ່ຖືກຂູດໃນຮູບແບບການບໍລິຈາກເພື່ອການກຸສົນເພື່ອບໍ່ຫວັງຜົນກໍາໄລຂອງນັກຄົ້ນຄວ້າຂອງພວກເຮົາເລືອກ. ” ເນື່ອງຈາກວ່າບໍລິສັດຈັບຄູ່ກັບການຈ່າຍເງິນໃຫ້ກັບອົງການການກຸສົນ, ຈໍານວນເງິນທີ່ຈ່າຍໃຫ້ກັບຜູ້ບໍ່ຫວັງຜົນກໍາໄລຈະສູງກວ່າ.