Meta rozszerzyła swój program bug bounty, aby nagradzać badaczy bezpieczeństwa, którzy odkrywają nowe sposoby przeprowadzania ataków typu scraping, mających na celu zbieranie informacji o użytkownikach Facebooka.
„Wiemy, że zautomatyzowana aktywność mająca na celu zbieranie publicznych i prywatnych danych ludzi jest skierowana na każdą witrynę lub usługę”, mówi Meta w swoim zapowiedź. „Wiemy również, że jest to wysoce wrogie miejsce, w którym skrobaki — czy to złośliwe apps, strony internetowe lub skrypty — stale dostosowuj swoje taktyki, aby uniknąć wykrycia w odpowiedzi na budowane i ulepszane przez nas mechanizmy obronne”.
Więc firma postanowiła zaprosić Haker Plus członków lig Gold, Platinum i Diamond, aby zgłaszać błędy, które można wykorzystać do zeskrobywania danych użytkowników Facebooka. Meta mówi, że w szczególności „poszukuje błędów, które umożliwiają atakującym ominięcie ograniczeń skrobania w celu uzyskania dostępu do danych na większą skalę niż zamierzony produkt”, aby mogli zminimalizować koszty swoich ataków.
„Zgodnie z naszą najlepszą wiedzą jest to pierwszy w branży program typu „scraping bug bounty” — mówi Meta. „Będziemy pracować nad odpowiedzią na opinie naszych najlepszych łowców nagród przed rozszerzeniem zakresu na większą publiczność”.
Ale firma nie tylko nagradza badaczy bezpieczeństwa, którzy znajdują błędy, które można wykorzystać do przeprowadzania ataków typu scraping. Meta nagrodzi również tych, którzy zaalarmują ją, o zestawach danych, które zostały już usunięte z jej usługi i udostępnione publicznie. W ten sposób może zapobiegać takim atakom, a jednocześnie łagodzić skutki skrobania, które już miało miejsce.
To rozszerzenie programu nagród za dane ma również ograniczenia. „Będziemy nagradzać zgłoszenia niechronionych lub otwarcie publicznych baz danych zawierających co najmniej 100,000 XNUMX unikalnych rekordów użytkowników Facebooka z danymi umożliwiającymi identyfikację osoby lub danymi wrażliwymi (np. e-mail, numer telefonu, adres fizyczny, przynależność religijną lub polityczną)” – mówi Meta. „Raportowany zestaw danych musi być unikalny i nie był wcześniej znany ani zgłoszony do Meta”.
Polecane przez naszych redaktorów
Firma twierdzi, że w razie potrzeby skontaktuje się z dostawcami usług hostingowych, takimi jak Amazon Web Services, Box i Dropbox, aby usunąć zeskrobane informacje z ich platform. Planuje również rozszerzenie zakresu tego programu, aby obejmował mniejsze ilości informacji po otrzymaniu informacji zwrotnych od badaczy odkrywających i ujawniających te większe skarby danych.
Meta mówi, że oczywiście nie chce zachęcać badaczy do samodzielnego zbierania danych, płacąc im bezpośrednio za ujawnienia, więc zamiast tego „nagradza prawidłowe raporty o zeskrobanych zestawach danych w formie darowizn na cele charytatywne na rzecz wybranych przez naszych badaczy organizacji non-profit. ” Ponieważ firma dopasowuje wypłaty nagród do organizacji charytatywnych, kwota wypłacana organizacjom non-profit będzie wyższa.
Podoba Ci się to, co czytasz?
Zapisz się na Zegarek bezpieczeństwa biuletyn z naszymi najważniejszymi historiami dotyczącymi prywatności i bezpieczeństwa dostarczanymi bezpośrednio do Twojej skrzynki odbiorczej.
Ten biuletyn może zawierać reklamy, oferty lub linki partnerskie. Zapisanie się do newslettera oznacza zgodę na nasze Warunki korzystania i Polityka prywatności. W każdej chwili możesz zrezygnować z otrzymywania biuletynów.
English
Arabic
Belarusian
Bengali
Bosnian
Bulgarian
Chinese (Simplified)
Croatian
Czech
Danish
Dutch
English
Estonian
Filipino
Finnish
French
Georgian
German
Greek
Gujarati
Hausa
Hebrew
Hindi
Hmong
Hungarian
Igbo
Indonesian
Italian
Japanese
Javanese
Kazakh
Korean
Kurdish (Kurmanji)
Kyrgyz
Lao
Latvian
Lithuanian
Macedonian
Malagasy
Norwegian
Persian
Polish
Portuguese
Punjabi
Romanian
Russian
Serbian
Slovak
Slovenian
Spanish
Swedish
Thai
Turkish
Ukrainian
Vietnamese
Yoruba