Ključni izsledki
- Meta je razširila svoj program nagrad za napake, da bi svojo platformo in uporabnike zaščitila pred strgali podatkov.
- Postrganje podatkov je pripeljalo do tega, da so hekerji v preteklosti zbrali podatke več kot 300 milijonov uporabnikov.
-
Meta trdi, da je prva, ki je nagradila raziskovalce za njihovo pomoč pri prevladovanju strganja podatkov.
Ali bi vas presenetilo, če bi vedeli, da avtomatizirani programi pometajo platforme družbenih medijev, kot je Facebook, da zberejo vse javno dostopne informacije in jih primerjajo v podatkovnih bazah? Posamezni deli informacij morda niso veliko uporabni, vendar lahko skupaj hekerjem omogočijo izvajanje vseh vrst digitalnih kaznivih dejanj, kot so kraje poverilnic in napadi lažnega predstavljanja. In Meta ima tega dovolj.
Medtem ko družabno omrežje samo sprejema korake za lovljenje in omejevanje teh avtomatiziranih programov, imenovanih strgala, se je platforma zdaj odločila zaprositi za pomoč neodvisnih varnostnih raziskovalcev z razširitvijo svojih programov za nagrajevanje hroščev. Njegov cilj je ne le odpraviti hrošče, zaradi katerih uhajajo takšne podrobnosti o njegovih uporabnikih, ampak tudi pomagati najti take zbirke podatkov, ki vsebujejo postrgane informacije.
"Program za nagrado za hrošče bo pomagal zapolniti vrzeli v obrambi Facebooka pred strganjem in Meto opozoril na skrajšane baze podatkov, ki se pojavljajo v spletu," je za Lifewire po e-pošti povedal Paul Bischoff, zagovornik zasebnosti in urednik Infosecove raziskovalne hiše Comparitech..
The Scraping Menace
Meta je strganje označila za "izziv za ves internet", ko je napovedala razširitev svojega programa za nagrajevanje hroščev, ki je bil prvotno zasnovan za iskanje programskih napak v kodi, ki poganja platformo.
Po besedah Bischoffa so številne platforme prepovedale uporabo strgal, tudi za informacije, ki jih imajo in so javno dostopne. To je zato, ker osebno določljive podatke (PII), kot so uporabniška imena, datumi rojstva, e-poštni naslovi in lokacija, zlobni akterji pogosto uporabljajo za ciljanje na uporabnike v izdelanih kampanjah socialnega inženiringa.
Program nagrajevanja hroščev bo pomagal zapolniti vrzeli v obrambi Facebooka pred strganjem in Meta opozoril na skrite baze podatkov…
Vendar Bischoff dodaja, da ima Facebook težave pri razlikovanju med strgali in zakonitimi uporabniki, kar je v preteklosti povzročilo ogromno uhajanja podatkov. Posebej opozarja na uhajanje informacij, ki se je pojavilo marca 2020, ko se je Comparitech povezal z varnostnim raziskovalcem Bobom Diachenkom in odkril zbirko podatkov, ki je vsebovala uporabniške ID-je in telefonske številke več kot 300 milijonov uporabnikov Facebooka.
Toda strganje ni povsem nezakonito – v najboljšem primeru obstaja v tehnično-pravnem sivem območju, saj ima tudi zakonito uporabo.
"Čeprav je strganje v nasprotju s Facebookovimi pogoji uporabe, ni strogo nezakonito. Nekatere operacije strganja so zlonamerne, druge pa so akademske ali novinarske," je pojasnil Bischoff.
Iskani DOA
V svoji objavi o širitvi programa nagrad za hrošče je Facebook omenil, da je pobuda za nagrado za hrošče od svoje ustanovitve podelila več kot 800 nagrad v skupni vrednosti več kot 2,3 milijona dolarjev raziskovalcem iz več kot 46 držav. Spopadanje z "novimi izzivi", kot je strganje, je bila naravna razširitev programa.
Čeprav je strganje v nasprotju s Facebookovimi pogoji uporabe, ni strogo nezakonito.
Po besedah Mete bo razširjeni program nagrad za hrošče nagradil varnostne raziskovalce na dveh frontah.
Prvič, Meta bo kot del svoje širše varnostne strategije, da bo strganje postalo težje in "dražje" za akterje groženj, nagradila poročila o hroščih v svoji platformi, ki jih slabi akterji lahko izkoristijo, da zaobidejo ovire, ki jih je postavila za odvračanje od strganja.
Drugič, platforma je dejala, da bo nagradila tudi lovce na glave podatkov, ki jo obveščajo o nezaščitenih bazah podatkov, ki so na voljo na spletu in vsebujejo postrgane PII vsaj 100.000 edinstvenih uporabnikov Facebooka.
Če potrdimo, da so bili PII uporabnika postrgani in so zdaj na voljo v spletu na mestu, ki ni Meta, bomo sprejeli ustrezne ukrepe, ki lahko vključujejo sodelovanje z ustreznim subjektom za odstranitev nabora podatkov ali iskanje pravnih sredstev da pomagamo zagotoviti, da je težava obravnavana, « je v objavi zapisala Meta.
Dodalo je, da bi platforma sodelovala z razvijalcem, da bi zaprla uhajanje, če bi bila napaka posledica napačne konfiguracije v aplikaciji zunanjega razvijalca. Po drugi strani pa si bo tudi prizadeval zagotoviti, da storitev gostovanja, kjer so hekerji shranili postrgano zbirko podatkov, to uniči.
Nagrade za nagrade za strganje se začnejo pri 500 $, in medtem ko hrošči za strganje vključujejo denarna izplačila, bodo informacije o strganih zbirkah podatkov podeljene v obliki dobrodelnih donacij neprofitnim organizacijam po izboru novinarjev.
"Kolikor nam je znano, je to prvi program nagrajevanja hroščev v industriji," je povzela Meta. "Prizadevali si bomo za povratne informacije naših najboljših lovcev na glave, preden razširimo obseg na večje občinstvo."
