A Meta expandiu seu programa de recompensas por bugs para recompensar pesquisadores de segurança que descobrem novas maneiras de conduzir ataques de raspagem projetados para coletar informações sobre usuários do Facebook.
“Sabemos que a atividade automatizada projetada para raspar os dados públicos e privados das pessoas tem como alvo todos os sites ou serviços”, diz Meta em seu anúncio. “Também sabemos que é um espaço altamente adverso onde os raspadores – sejam eles maliciosos apps, sites ou scripts — adaptam constantemente suas táticas para evitar a detecção em resposta às defesas que construímos e melhoramos.”
Então a empresa decidiu convidar Hacker Plus membros das ligas Gold, Platinum e Diamond para enviar bugs que podem ser explorados para raspar os dados do usuário do Facebook. A Meta diz que está especificamente “procurando encontrar bugs que permitam aos invasores contornar as limitações de raspagem para acessar dados em maior escala do que o produto pretendido”, para que possam minimizar o custo de seus ataques.
“Até onde sabemos, este é o primeiro programa de recompensas de bugs do setor”, diz Meta. “Trabalharemos para abordar o feedback de nossos principais caçadores de recompensas antes de expandir o escopo para um público maior.”
Mas a empresa não está apenas recompensando os pesquisadores de segurança que encontram bugs que podem ser explorados para realizar ataques de raspagem. O Meta também recompensará aqueles que o alertarem sobre conjuntos de dados que já foram retirados de seu serviço e disponibilizados ao público. Dessa forma, ele pode funcionar para evitar esses ataques e, ao mesmo tempo, mitigar o impacto da raspagem que já ocorreu.
Essa expansão do programa de recompensas de dados também tem restrições. “Recompensaremos relatórios de bancos de dados desprotegidos ou abertamente públicos contendo pelo menos 100,000 registros únicos de usuários do Facebook com PII ou dados confidenciais (por exemplo, e-mail, número de telefone, endereço físico, afiliação religiosa ou política)”, diz Meta. “O conjunto de dados relatado deve ser exclusivo e não conhecido ou relatado anteriormente ao Meta.”
Recomendado por nossos editores
A empresa diz que entrará em contato com provedores de hospedagem como Amazon Web Services, Box e Dropbox, conforme apropriado, para remover as informações extraídas de suas plataformas. Também está planejando expandir o escopo deste programa para incluir quantidades menores de informações depois de receber algum feedback dos pesquisadores que descobrem e divulgam esses grandes volumes de dados.
A Meta diz que não quer encorajar os pesquisadores a coletar dados, pagando-os diretamente por suas divulgações, é claro, então, em vez disso, “recompensará relatórios válidos de conjuntos de dados raspados na forma de doações de caridade para organizações sem fins lucrativos de escolha de nossos pesquisadores. ” Como a empresa combina pagamentos de recompensas a instituições de caridade, o valor pago às organizações sem fins lucrativos será maior.
Gosta do que você está lendo?
Registe-se para Vigilância de segurança newsletter para nossas principais histórias de privacidade e segurança entregues diretamente na sua caixa de entrada.
Este boletim informativo pode conter publicidade, negócios ou links de afiliados. A assinatura de um boletim informativo indica seu consentimento com o nosso Termos de Uso e Política de Privacidade. Você pode cancelar a assinatura dos boletins informativos a qualquer momento.
English
Arabic
Belarusian
Bengali
Bosnian
Bulgarian
Chinese (Simplified)
Croatian
Czech
Danish
Dutch
English
Estonian
Filipino
Finnish
French
Georgian
German
Greek
Gujarati
Hausa
Hebrew
Hindi
Hmong
Hungarian
Igbo
Indonesian
Italian
Japanese
Javanese
Kazakh
Korean
Kurdish (Kurmanji)
Kyrgyz
Lao
Latvian
Lithuanian
Macedonian
Malagasy
Norwegian
Persian
Polish
Portuguese
Punjabi
Romanian
Russian
Serbian
Slovak
Slovenian
Spanish
Swedish
Thai
Turkish
Ukrainian
Vietnamese
Yoruba