Key Takeaways
- Meta je proširila svoj program za nagrađivanje grešaka kako bi ojačala svoju platformu i korisnike protiv skrapera podataka.
- Skraping podataka doveo je do toga da su hakeri prikupili informacije o preko 300 miliona korisnika u prošlosti.
-
Meta tvrdi da je prva koja je nagradila istraživače za njihovu pomoć da vladaju u prikupljanju podataka.
Da li bi vas iznenadilo da znate da automatizovani programi prečišćavaju platforme društvenih medija kao što je Facebook kako bi prikupili sve javno dostupne informacije i uporedili ih u baze podataka? Pojedinačne informacije možda neće biti od velike koristi, ali zajedno mogu omogućiti hakerima da počine sve vrste digitalnih zločina, kao što su krađe akreditiva i phishing napadi. I Meti je dosta toga.
Dok sama društvena mreža poduzima korake kako bi uhvatila i smanjila ove automatizirane programe zvane scrapers, platforma je sada odlučila zatražiti pomoć nezavisnih istraživača sigurnosti tako što će proširiti svoje programe za nagrađivanje grešaka. Njegov cilj nije samo da popravi greške koje cure takve detalje o svojim korisnicima, već i da pomogne u pronalaženju takvih baza podataka koje sadrže skrapane informacije.
"Program za nagrađivanje grešaka pomoći će popuniti praznine u odbrani Facebooka od scraping-a i upozoriti Metu na izgrebane baze podataka koje se pojavljuju na webu, " rekao je za Lifewire e-poštom Paul Bischoff, zagovornik privatnosti i urednik istraživačkog centra Infosec Comparitech.
The Scraping Menace
Meta je scraping nazivala "izazovom na cijelom Internetu" jer je najavila proširenje svog programa za prikupljanje grešaka, koji je prvobitno bio dizajniran da pronađe softverske greške u kodu koji pokreće platformu.
Prema Bischoffu, mnoge platforme su zabranile korištenje strugača, čak i za informacije koje posjeduju koje su javno dostupne. To je zato što lični podaci (PII), kao što su korisnička imena, datumi rođenja, adrese e-pošte i lokacija, često koriste loši akteri da ciljaju korisnike u razrađenim kampanjama društvenog inženjeringa.
Bug bounty program će pomoći da se popune praznine u odbrani Facebooka od scrapinga i upozorit će Metu na skrapane baze podataka…
Međutim, Bischoff dodaje da se Facebook mučio da napravi razliku između skrepera i legitimnih korisnika, što je rezultiralo velikim curenjem podataka u prošlosti. On posebno ukazuje na curenje koje se pojavilo u martu 2020. kada se Comparitech udružio s istraživačem sigurnosti Bobom Diachenkom i otkrio bazu podataka koja je sadržavala korisničke ID-ove i telefonske brojeve preko 300 miliona Facebook korisnika.
Ali struganje nije potpuno ilegalno - u najboljem slučaju postoji u tehno-pravno sivoj zoni jer ima i legitimnu upotrebu.
"Iako je scraping u suprotnosti s uvjetima korištenja Facebooka, nije striktno nezakonit. Neke operacije scrapinga su zlonamjerne, ali druge su akademske ili novinarske", pojasnio je Bischoff.
Traži se DOA
U svojoj najavi proširenja programa za nagrađivanje grešaka, Facebook je spomenuo da je od svog početka, inicijativa za nagrađivanje grešaka dodijelila preko 800 nagrada, u ukupnom iznosu od preko 2,3 miliona dolara istraživačima iz više od 46 zemalja. Rješavanje "novih izazova" kao što je scraping bilo je prirodno proširenje programa.
Iako je scraping protiv Facebookovih uslova korištenja, nije striktno protuzakonito.
Prema Meta, prošireni program nagrađivanja za greške će nagraditi istraživače sigurnosti na dva fronta.
One, kao dio svoje veće sigurnosne strategije da skrajping učini težim i "skupljim" za aktere prijetnji, Meta će dodijeliti izvještaje o greškama na svojoj platformi koje loši akteri mogu iskoristiti da zaobiđu barijere koje je postavio da odvrate od scrapinga.
Drugo, platforma je rekla da će također nagraditi lovce na ucjene za podatke koji je informišu o nezaštićenim bazama podataka dostupnim na mreži koje sadrže izvučene PII najmanje 100 000 jedinstvenih Facebook korisnika.
"Ako potvrdimo da je PII korisnika ukraden i da je sada dostupan online na web lokaciji koja nije Meta, radit ćemo na poduzimanju odgovarajućih mjera, koje mogu uključivati rad s relevantnim entitetom na uklanjanju skupa podataka ili traženje pravnih sredstava kako bi se osiguralo da se problem riješi, " napomenuo je Meta u najavi.
Dodato je da bi platforma radila sa programerom da bi začepio curenje, ako je skrape bila zbog pogrešne konfiguracije u aplikaciji vanjskog programera. S druge strane, takođe će uložiti napore da osigura da usluga hostinga u koju su hakeri smestili ukradenu bazu podataka ukloni.
Nagrade za scraping nagrade počinju od 500 dolara, i dok greške za scraping uključuju novčane isplate, informacije o skrapanim bazama podataka bit će dodijeljene u obliku dobrotvornih donacija neprofitnim organizacijama po izboru novinara.
"Prema našim saznanjima, ovo je prvi program za nagrađivanje grešaka u industriji," sažeo je Meta. "Radit ćemo na tome da odgovorimo na povratne informacije naših vrhunskih lovaca na ucjene prije nego proširimo opseg na veću publiku."