Scraping the Barrel: Meta rozširuje svoj bounty program

Meta rozšírila svoj program odmien za chyby, aby odmenila výskumníkov v oblasti bezpečnosti, ktorí objavili nové spôsoby vykonávania scrapingových útokov určených na zhromažďovanie informácií o používateľoch Facebooku.

„Vieme, že automatizovaná aktivita určená na zoškrabovanie verejných a súkromných údajov ľudí sa zameriava na každú webovú stránku alebo službu,“ hovorí Meta oznámenia. „Vieme tiež, že je to vysoko nepriateľský priestor, kde škrabky – nech už sú škodlivé apps, webové stránky alebo skripty – neustále prispôsobujú svoju taktiku, aby sa vyhli odhaleniu v reakcii na obranu, ktorú budujeme a zlepšujeme.“

Spoločnosť sa teda rozhodla pozvať Hacker Plus členov v zlatej, platinovej a diamantovej lige, aby odosielali chyby, ktoré možno zneužiť na zoškrabanie používateľských údajov Facebooku. Meta hovorí, že špecificky „hľadá nájsť chyby, ktoré útočníkom umožnia obísť obmedzenia zoškrabovania, aby mali prístup k údajom vo väčšom rozsahu, ako zamýšľal produkt“, aby mohli minimalizovať náklady na svoje útoky.

„Pokiaľ je nám známe, toto je prvý bounty program na odstránenie chýb v tomto odvetví,“ hovorí Meta. "Budeme pracovať na riešení spätnej väzby od našich najlepších lovcov odmien predtým, ako rozšírime rozsah na väčšie publikum."

Spoločnosť však odmeňuje nielen bezpečnostných výskumníkov, ktorí nájdu chyby, ktoré možno zneužiť na útoky typu scraping. Meta tiež odmení tých, ktorí ju upozornia na súbory údajov, ktoré už boli z jej služby stiahnuté a sprístupnené verejnosti. Týmto spôsobom môže zabrániť takýmto útokom a zároveň zmierniť dopad škrabania, ku ktorému už došlo.

Toto rozšírenie dátového bounty programu má tiež obmedzenia. „Odmeňujeme správy o nechránených alebo otvorene verejných databázach obsahujúcich najmenej 100,000 XNUMX jedinečných záznamov používateľov Facebooku s PII alebo citlivými údajmi (napr. e-mail, telefónne číslo, fyzická adresa, náboženská alebo politická príslušnosť),“ hovorí Meta. "Hlásený súbor údajov musí byť jedinečný a predtým neznámy ani nahlásený spoločnosti Meta."

Spoločnosť tvrdí, že podľa potreby bude kontaktovať poskytovateľov hostingu, ako sú Amazon Web Services, Box a Dropbox, aby odstránili zoškrabané informácie z ich platforiem. Plánuje tiež rozšíriť rozsah tohto programu tak, aby zahŕňal menšie množstvá informácií po získaní spätnej väzby od výskumníkov, ktorí objavili a zverejnili tieto väčšie zásoby údajov.

Meta hovorí, že nechce povzbudzovať výskumníkov, aby sami získavali údaje tým, že im budú priamo platiť za ich zverejnenie, samozrejme, takže namiesto toho „odmeňuje platné správy o zoškrabaných súboroch údajov vo forme charitatívnych darov neziskovým organizáciám, ktoré si naši výskumníci vyberú. “ Pretože spoločnosť priraďuje výplaty odmien charitatívnym organizáciám, suma vyplatená neziskovým organizáciám bude vyššia.