Ключови изводи
- Meta разшири своята програма за награди за грешки, за да укрепи своята платформа и потребители срещу извличане на данни.
- Извличането на данни е довело до натрупване на информация от хакери за над 300 милиона потребители в миналото.
-
Meta твърди, че е първият, който възнаграждава изследователите за помощта им да управляват сканирането на данни.
Ще се изненадате ли да знаете, че автоматизираните програми пречистват социални медийни платформи като Facebook, за да събират всяка обществено достъпна информация и да я събират в бази данни? Отделни части от информация може да не са от голяма полза, но заедно те могат да позволят на хакерите да извършват всякакви цифрови престъпления, като кражби на идентификационни данни и фишинг атаки. И на Мета й стига.
Докато самата социална мрежа предприема стъпки за улавяне и ограничаване на тези автоматизирани програми, наречени скрепери, платформата сега реши да привлече помощта на независими изследователи по сигурността, като разшири своите програми за награди за грешки. Неговата цел е не само да коригира грешките, които изпускат такива подробности за неговите потребители, но и да помогне за намирането на такива бази данни, които съдържат изчерпана информация.
„Програмата за награди за грешки ще помогне да се запълнят празнините в защитите на Facebook срещу скрапинг и ще предупреди Meta за скрейп бази данни, които се появяват в мрежата,“Пол Бишоф, защитник на поверителността и редактор на Infosec изследователския център Comparitech, каза пред Lifewire по имейл.
Остъргващата заплаха
Meta посочи скрейпинга като „предизвикателство за целия интернет“, когато обяви разширяването на своята програма за награди за грешки, която първоначално беше предназначена да открива софтуерни проблеми в кода, който захранва платформата.
Според Бишоф, много платформи са забранили използването на скрепери, дори за информацията, която притежават, която е публично достъпна. Това е така, защото информацията, разкриваща самоличността (PII), като потребителски имена, рождени дати, имейл адреси и местоположение, често се използва от лоши актьори за насочване към потребителите в сложни кампании за социално инженерство.
Програмата за награди за грешки ще помогне да се запълнят празнините в защитата на Facebook срещу скрапинг и ще предупреди Meta за скрейп бази данни…
Въпреки това, Бишоф добавя, че Facebook се бори да разграничи между скрейпъри и законни потребители, което доведе до огромни изтичания на данни в миналото. Той конкретно посочва изтичането на информация, което се появи през март 2020 г., когато Comparitech се обедини с изследователя по сигурността Боб Диаченко и откри база данни, която съдържа потребителските идентификатори и телефонните номера на над 300 милиона потребители на Facebook.
Но изстъргването не е направо незаконно - в най-добрия случай то съществува в сива зона с технологични закони, тъй като има и законни употреби.
"Въпреки че изтриването е в противоречие с условията за използване на Facebook, то не е строго незаконно. Някои операции на изтриване са злонамерени, но други са академични или журналистически", изясни Бишоф.
Търси се DOA
В съобщението си за разширяването на програмата за награди за грешки, Facebook спомена, че от самото начало инициативата за награди за грешки е присъдила над 800 награди, на обща стойност над $2,3 милиона на изследователи от повече от 46 страни. Справянето с "нови предизвикателства" като изстъргването беше естествено продължение на програмата.
Въпреки че изтриването е в противоречие с условията за използване на Facebook, то не е напълно незаконно.
Според Meta, разширената програма за награди за грешки ще възнагради изследователите по сигурността на два фронта.
Първо, като част от своята по-широка стратегия за сигурност, за да направи сканирането по-трудно и „по-скъпо“за участниците в заплахата, Meta ще награди доклади за грешки в своята платформа, които лошите участници могат да използват, за да заобиколят бариерите, които е издигнала, за да разубеди скрейп.
Второ, платформата каза, че също така ще награждава ловци на глави за данни, които я информират за незащитени бази данни, достъпни онлайн, които съдържат информацията за самоличност на поне 100 000 уникални потребители на Facebook.
Ако потвърдим, че PII на потребителя е изкопана и вече е достъпна онлайн на сайт, който не е Meta, ще работим за предприемане на подходящи мерки, които може да включват работа със съответното юридическо лице за премахване на набора от данни или търсене на правни средства за да се гарантира, че проблемът е решен“, отбеляза Мета в съобщението.
Добавено е, че ако изтриването се дължи на грешна конфигурация в приложението на външен разработчик, платформата ще работи с разработчика, за да запуши изтичането. От друга страна, той също така ще положи усилия, за да гарантира, че хостинг услугата, където хакерите са приютили скрапираната база данни, я премахва.
Наградите за наградите за скрапиране започват от $500 и докато бъговете за скрапинг включват парични изплащания, информацията за компилираните бази данни ще бъде наградена под формата на дарения за благотворителност на организации с нестопанска цел по избор на репортерите.
"Доколкото ни е известно, това е първата програма за награди за изчистване на грешки в индустрията", обобщи Мета. „Ще работим, за да отговорим на обратната връзка от нашите най-добри ловци на глави, преди да разширим обхвата до по-голяма аудитория.“