Ключевые выводы
- Meta расширила свою программу вознаграждения за обнаружение ошибок, чтобы защитить свою платформу и пользователей от парсеров данных.
- Очистка данных привела к тому, что хакеры в прошлом собрали информацию о более чем 300 миллионах пользователей.
-
Meta утверждает, что она первая награждает исследователей за их помощь в сборе данных.
Вас бы удивило, если бы вы узнали, что автоматизированные программы охватывают платформы социальных сетей, такие как Facebook, для сбора любой общедоступной информации и сопоставления ее с базами данных? Отдельные части информации могут быть бесполезны, но вместе они могут позволить хакерам совершать все виды цифровых преступлений, таких как кража учетных данных и фишинговые атаки. И Мете это надоело.
В то время как сама социальная сеть предпринимает шаги по отлову и сокращению этих автоматических программ, называемых парсерами, платформа теперь решила заручиться помощью независимых исследователей в области безопасности, расширив свои программы вознаграждения за обнаружение ошибок. Его цель - не только исправить ошибки, из-за которых происходит утечка такой информации о пользователях, но и помочь найти такие базы данных, в которых содержится очищенная информация.
«Программа вознаграждения за обнаружение ошибок поможет восполнить пробелы в защите Facebook от скрейпинга и предупредить Meta о скрейпинге баз данных, которые появляются в Интернете», - сообщил Lifewire по электронной почте Пол Бишофф, защитник конфиденциальности и редактор исследовательского центра Infosec Comparitech..
The Scraping Menace
Meta назвала парсинг «вызовом для всего Интернета», поскольку объявила о расширении своей программы вознаграждения за обнаружение ошибок, которая изначально была разработана для поиска программных сбоев в коде, на котором работает платформа.
По словам Бишоффа, многие платформы запретили использование скрейперов, даже для общедоступной информации, которую они хранят. Это связано с тем, что личная информация (PII), такая как имена пользователей, даты рождения, адреса электронной почты и местоположение, часто используется злоумышленниками для нацеливания на пользователей в сложных кампаниях социальной инженерии.
Программа Bug Bounty поможет восполнить пробелы в защите Facebook от парсинга и предупредит Meta о парсинге баз данных…
Однако Бишофф добавляет, что Facebook изо всех сил пытался отличить парсеров от законных пользователей, что в прошлом приводило к огромным утечкам данных. Он особо указывает на утечку, возникшую в марте 2020 года, когда компания Comparitech объединилась с исследователем безопасности Бобом Дьяченко и обнаружила базу данных, содержащую идентификаторы и номера телефонов более 300 миллионов пользователей Facebook.
Но парсинг не является полностью незаконным - в лучшем случае он существует в серой зоне с технической точки зрения, поскольку он также имеет законное использование.
«Несмотря на то, что парсинг противоречит условиям использования Facebook, он не является строго незаконным. Некоторые операции парсинга являются злонамеренными, но другие носят академический или журналистский характер», - пояснил Бишофф.
Разыскивается DOA
В своем объявлении о расширении программы Bug Bounty Facebook упомянул, что с момента ее создания в рамках этой инициативы было присуждено более 800 наград на общую сумму более 2,3 миллиона долларов исследователям из более чем 46 стран. Решение «новых задач», таких как парсинг, было естественным продолжением программы.
Несмотря на то, что парсинг противоречит условиям использования Facebook, он не является строго незаконным.
Согласно Meta, расширенная программа вознаграждения за обнаружение ошибок будет вознаграждать исследователей безопасности на двух фронтах.
One, в рамках своей более широкой стратегии безопасности, направленной на то, чтобы сделать парсинг более сложным и «более дорогим» для злоумышленников, Meta будет награждать отчеты об ошибках в своей платформе, которые злоумышленники могут использовать, чтобы обойти барьеры, воздвигнутые для предотвращения парсинга..
Во-вторых, платформа заявила, что также будет награждать охотников за головами данных, которые сообщат ей о незащищенных базах данных, доступных в Интернете, которые содержат очищенные персональные данные не менее 100 000 уникальных пользователей Facebook.
Если мы подтвердим, что личная информация пользователя была удалена и теперь доступна онлайн на немета-сайте, мы будем работать над принятием соответствующих мер, которые могут включать в себя сотрудничество с соответствующей организацией для удаления набора данных или поиск правовых средств. чтобы гарантировать решение проблемы», - отметила Мета в объявлении.
Он добавил, что, если скрейп произошел из-за неправильной настройки в приложении внешнего разработчика, платформа будет работать с разработчиком, чтобы устранить утечку. С другой стороны, он также приложит усилия к тому, чтобы служба хостинга, на которой хакеры разместили очищенную базу данных, удалила ее.
Вознаграждения за вознаграждения за парсинг начинаются с 500 долларов, и, хотя ошибки парсинга влекут за собой денежные выплаты, информация об извлеченных базах данных будет предоставлена в виде благотворительных пожертвований некоммерческим организациям по выбору репортеров.
«Насколько нам известно, это первая в отрасли программа поощрения за устранение ошибок», - подытожила Мета. «Мы будем работать над тем, чтобы учесть отзывы наших лучших охотников за головами, прежде чем расширить сферу охвата для более широкой аудитории».
