Scraping the Barrel: Meta розширює свою програму Bounty

Meta розширила свою програму винагороди за помилки, щоб винагородити дослідників безпеки, які відкривають нові способи проведення скрейп-атак, призначених для збору інформації про користувачів Facebook.

«Ми знаємо, що автоматизована діяльність, призначена для очищення публічних і приватних даних людей, націлена на кожен веб-сайт або службу», – говорить Мета у своєму оголошення. «Ми також знаємо, що це дуже ворожий простір, де скребки — будь то шкідливі apps, веб-сайти чи скрипти — постійно адаптують свою тактику, щоб уникнути виявлення у відповідь на захист, який ми створюємо та покращуємо».

Тому компанія вирішила запросити Хакер Плюс члени Золотої, Платинової та Діамантової ліг подавати повідомлення про помилки, які можна використовувати для очищення даних користувачів Facebook. Meta каже, що спеціально «шукає помилки, які дозволяють зловмисникам обійти обмеження скрейпінгу, щоб отримати доступ до даних у більшому масштабі, ніж передбачалося продуктом», щоб вони могли мінімізувати вартість своїх атак.

«Наскільки нам відомо, це перша програма винагороди за помилки в галузі», – каже Мета. «Ми будемо працювати над тим, щоб отримати відгуки від наших найкращих мисливців за головами, перш ніж розширити коло аудиторії».

Але компанія винагороджує не лише дослідників безпеки, які знаходять помилки, які можна використати для здійснення скрейп-атак. Meta також винагородить тих, хто сповіщає її про набори даних, які вже були вилучені з його служби та доступні для громадськості. Таким чином, він може працювати, щоб запобігти таким атакам, а також пом’якшити вплив скрейпінгу, який вже відбувся.

Це розширення програми збору даних також має обмеження. «Ми будемо винагороджувати звіти про незахищені або відкрито публічні бази даних, що містять принаймні 100,000 XNUMX унікальних записів користувачів Facebook з ідентифікаційною інформацією або конфіденційними даними (наприклад, електронна пошта, номер телефону, фізична адреса, релігійна чи політична приналежність)», – говорить Мета. «Повідомлений набір даних має бути унікальним і не відомий раніше чи повідомлятися Meta».

Компанія стверджує, що зв’яжеться з такими постачальниками хостингу, як Amazon Web Services, Box і Dropbox, якщо це буде доречно, щоб видалити зібрану інформацію зі своїх платформ. Він також планує розширити сферу застосування цієї програми, щоб включати менші обсяги інформації після того, як вона отримає зворотний зв’язок від дослідників, які виявляють і розкривають ці великі масиви даних.

Meta каже, що не хоче заохочувати дослідників самостійно очищати дані, сплачуючи їм безпосередньо за їхнє розкриття, звичайно, тому замість цього вона «нагороджуватиме дійсні звіти про вирізані набори даних у вигляді благодійних пожертв некомерційним організаціям за вибором наших дослідників. ” Оскільки компанія порівнює виплати винагород з благодійними організаціями, сума, виплачена некомерційним організаціям, буде вищою.