Scraping the Barrel: Meta ขยายโครงการ Bounty

Meta ได้ขยายโปรแกรม Bounty Bounty เพื่อตอบแทนนักวิจัยด้านความปลอดภัยที่ค้นพบวิธีใหม่ๆ ในการโจมตีแบบ Scraping ที่ออกแบบมาเพื่อรวบรวมข้อมูลเกี่ยวกับผู้ใช้ Facebook

“เราทราบดีว่ากิจกรรมอัตโนมัติที่ออกแบบมาเพื่อดึงข้อมูลสาธารณะและข้อมูลส่วนตัวของผู้คนกำหนดเป้าหมายทุกเว็บไซต์หรือบริการ” Meta กล่าวใน การประกาศ. “เราทราบด้วยว่ามันเป็นพื้นที่ที่เป็นปฏิปักษ์อย่างสูงที่เครื่องขูด — ไม่ว่าจะเป็นอันตราย appsเว็บไซต์ หรือสคริปต์ — ปรับกลยุทธ์ของพวกเขาอย่างต่อเนื่องเพื่อหลบเลี่ยงการตรวจจับเพื่อตอบสนองต่อการป้องกันที่เราสร้างและปรับปรุง”

บริษัทจึงตัดสินใจเชิญ แฮกเกอร์พลัส สมาชิกในลีกระดับโกลด์ แพลตตินัม และไดมอนด์ เพื่อส่งจุดบกพร่องที่สามารถใช้เพื่อขูดข้อมูลผู้ใช้ Facebook Meta กล่าวว่าเป็นการเฉพาะ "มองหาจุดบกพร่องที่ทำให้ผู้โจมตีสามารถหลีกเลี่ยงข้อจำกัดในการดึงข้อมูลเพื่อเข้าถึงข้อมูลในขนาดที่ใหญ่กว่าที่ตั้งใจไว้" เพื่อให้สามารถลดต้นทุนการโจมตีได้

“เท่าที่เรารู้ นี่เป็นโปรแกรมขูดบั๊กโปรแกรมแรกในอุตสาหกรรม” Meta กล่าว “เราจะทำงานเพื่อตอบข้อเสนอแนะจากนักล่าเงินรางวัลชั้นนำของเราก่อนที่จะขยายขอบเขตไปยังผู้ชมจำนวนมากขึ้น”

แต่บริษัทไม่เพียงแค่ให้รางวัลแก่นักวิจัยด้านความปลอดภัยที่ค้นพบบั๊กที่สามารถนำไปใช้ในการโจมตีแบบขูดได้ Meta จะให้รางวัลแก่ผู้ที่แจ้งเตือนไปยังชุดข้อมูลที่ถูกคัดลอกจากบริการและเผยแพร่ต่อสาธารณะแล้ว วิธีนี้จะช่วยป้องกันการโจมตีดังกล่าว ในขณะเดียวกันก็ลดผลกระทบของการขูดที่เกิดขึ้นแล้วด้วย

การขยายโปรแกรมรางวัลข้อมูลนี้มีข้อจำกัดเช่นกัน “เราจะให้รางวัลกับรายงานของฐานข้อมูลสาธารณะที่ไม่มีการป้องกันหรือเปิดเผยซึ่งมีบันทึกผู้ใช้ Facebook ที่ไม่ซ้ำอย่างน้อย 100,000 รายการพร้อม PII หรือข้อมูลที่ละเอียดอ่อน (เช่น อีเมล หมายเลขโทรศัพท์ ที่อยู่ทางกายภาพ ความเกี่ยวข้องทางศาสนาหรือทางการเมือง)” Meta กล่าว “ชุดข้อมูลที่รายงานจะต้องไม่ซ้ำกันและไม่เคยรู้จักหรือรายงานไปยัง Meta มาก่อน”

บริษัทกล่าวว่าจะติดต่อผู้ให้บริการโฮสต์ เช่น Amazon Web Services, Box และ Dropbox ตามความเหมาะสมเพื่อลบข้อมูลที่คัดลอกออกจากแพลตฟอร์มของตน นอกจากนี้ยังวางแผนที่จะขยายขอบเขตของโปรแกรมนี้เพื่อรวมข้อมูลจำนวนน้อยลงหลังจากได้รับข้อเสนอแนะจากนักวิจัยที่ค้นพบและเปิดเผยข้อมูลขนาดใหญ่เหล่านี้

Meta กล่าวว่าไม่ต้องการสนับสนุนให้นักวิจัยขูดข้อมูลด้วยตนเองโดยจ่ายเงินโดยตรงสำหรับการเปิดเผย ดังนั้นแทนที่จะ "ให้รางวัลรายงานที่ถูกต้องของชุดข้อมูลที่คัดลอกมาในรูปแบบของการบริจาคเพื่อการกุศลให้กับองค์กรไม่แสวงหากำไรที่นักวิจัยของเราเลือก ” เนื่องจากบริษัทจับคู่เงินรางวัลกับองค์กรการกุศล จำนวนเงินที่จ่ายให้กับองค์กรไม่แสวงหากำไรจะสูงขึ้น