Meta wil nie hê dat jou data in hacker-databasisse moet beland nie

INHOUDSOPGAWE:

Meta wil nie hê dat jou data in hacker-databasisse moet beland nie
Meta wil nie hê dat jou data in hacker-databasisse moet beland nie
Anonim

Sleutel wegneemetes

  • Meta het sy bug-bounty-program uitgebrei om sy platform en gebruikers teen dataskrapers te versterk.
  • Dataskraap het daartoe gelei dat kuberkrakers inligting van meer as 300 miljoen gebruikers in die verlede versamel het.
  • Meta beweer dit is die eerste een wat navorsers beloon vir hul hulp om te regeer in data-skraping.

Image
Image

Sal dit jou verbaas om te weet dat geoutomatiseerde programme sosiale media-platforms soos Facebook vee om enige publiek toeganklike inligting te oes en dit binne databasisse te versamel? Individuele stukke inligting is dalk nie van veel nut nie, maar saam kan hulle kuberkrakers in staat stel om alle soorte digitale misdade te pleeg, soos diefstal van geloofsbriewe en uitvissing-aanvalle. En Meta het genoeg daarvan gehad.

Terwyl die sosiale netwerk self stappe doen om hierdie geoutomatiseerde programme genaamd skrapers op te vang en te beperk, het die platform nou besluit om die hulp van onafhanklike sekuriteitsnavorsers in te roep deur sy bug-bounty-programme uit te brei. Sy doelwit is om nie net die foute reg te stel wat sulke besonderhede oor sy gebruikers uitlek nie, maar ook om sulke databasisse te help vind wat geskrapte inligting bevat.

"Die fout-bounty-program sal help om die gapings in Facebook se verdediging teen skraping te vul en Meta waarsku teen geskraapte databasisse wat op die web verskyn," het Paul Bischoff, privaatheidsadvokaat en redakteur van Infosec-navorsingswinkel Comparitech, per e-pos aan Lifewire gesê..

The Scraping Menace

Meta het na skraping verwys as 'n "internetwye uitdaging" aangesien dit die uitbreiding van sy fout-bounty-program aangekondig het, wat aanvanklik ontwerp is om sagtewarefoute in die kode te vind wat die platform aandryf.

Volgens Bischoff het baie platforms die gebruik van skrapers verbied, selfs vir die inligting wat hulle besit wat publiek toeganklik is. Dit is omdat persoonlik identifiseerbare inligting (PII), soos gebruikername, geboortedatums, e-posadresse en ligging, dikwels deur slegte akteurs gebruik word om gebruikers in uitgebreide sosiale ingenieursveldtogte te teiken.

Die bug-bounty-program sal help om die gapings in Facebook se verdediging teen skraping te vul en Meta waarsku teen geskrapte databasisse…

Bischoff voeg egter by dat Facebook gesukkel het om tussen skrapers en wettige gebruikers te onderskei, wat in die verlede tot groot datalekkasies gelei het. Hy wys spesifiek op die lekkasie wat in Maart 2020 opgeduik het toe Comparitech met sekuriteitsnavorser Bob Diachenko saamgespan het en 'n databasis ontdek het wat die gebruiker-ID's en telefoonnommers van meer as 300 miljoen Facebook-gebruikers bevat het.

Maar skraping is nie heeltemal onwettig nie - dit bestaan op sy beste in 'n tegno-wettige grys area aangesien dit ook wettige gebruike het.

"Al is skraap teen Facebook se gebruiksvoorwaardes is dit nie streng onwettig nie. Sommige skraapoperasies is kwaadwillig, maar ander is akademies of joernalistiek," het Bischoff verduidelik.

Wanted DOA

In sy aankondiging van die uitbreiding van die bug-bounty-program, het Facebook genoem dat sedert sy ontstaan, die bug-bounty-inisiatief meer as 800 belonings, van altesaam meer as $2.3 miljoen, aan navorsers van meer as 46 lande toegeken het. Die aanpak van "nuwe uitdagings" soos skraap was 'n natuurlike uitbreiding van die program.

Alhoewel skraping teen Facebook se gebruiksvoorwaardes is, is dit nie streng onwettig nie.

Volgens Meta sal die uitgebreide bug-bounty-program sekuriteitsnavorsers op twee fronte beloon.

Een, as deel van sy groter sekuriteitstrategie om skraap moeiliker en "duurder" vir bedreigingsrolspelers te maak, sal Meta verslae toeken oor foute in sy platform wat slegte akteurs kan uitbuit om die hindernisse wat dit opgerig is om skraping te voorkom, te omseil.

Tweedens, die platform het gesê dat dit ook aan data-boutyjagters sal toeken wat hom inlig oor onbeskermde databasisse wat aanlyn beskikbaar is wat die geskrapte PII van ten minste 100 000 unieke Facebook-gebruikers bevat.

"As ons bevestig dat gebruiker-PII geskraap is en nou aanlyn beskikbaar is op 'n nie-Meta-werf, sal ons werk om toepaslike maatreëls te tref, wat kan insluit om met die betrokke entiteit te werk om die datastel te verwyder of om wettige middele te soek om te help verseker dat die kwessie aangespreek word," het Meta in die aankondiging opgemerk.

Image
Image

Dit het bygevoeg dat as die skraap weens 'n wankonfigurasie in die toepassing van 'n eksterne ontwikkelaar was, die platform saam met die ontwikkelaar sou werk om die lek te prop. Aan die ander kant sal dit ook pogings aanwend om te verseker dat die gasheerdiens waar die kuberkrakers die geskrapte databasis gehuisves het dit afneem.

Die belonings vir die skraappryse begin by $500, en terwyl die skraapgoggas geldelike uitbetalings behels, sal inligting oor geskrapte databasisse toegeken word in die vorm van liefdadigheidsskenkings aan niewinsorganisasies van die verslaggewers se keuse.

"Sover ons kennis strek, is dit die eerste skraapgogga-bounty-program in die bedryf," het Meta opgesom. "Ons sal werk om terugvoer van ons top-prysjagters te gee voordat ons die omvang na 'n groter gehoor uitbrei."

Aanbeveel: