Keeawayt
- Meta on laajentanut bug bounty -ohjelmaa vahvistaakseen alustansa ja käyttäjiään tietojen kaavinta vastaan.
- Tietojen kaapiminen on johtanut siihen, että hakkerit ovat keränneet tietoja yli 300 miljoonasta käyttäjästä aiemmin.
-
Meta väittää, että se on ensimmäinen, joka palkitsee tutkijoita heidän avustaan tietojen kaapimisessa.
Yllättäisitkö, että automatisoidut ohjelmat pyyhkäisevät Facebookin k altaisia sosiaalisen median alustoja kerätäkseen julkisesti saatavilla olevia tietoja ja kootakseen ne tietokantoihin? Yksittäisistä tiedoista ei ehkä ole paljon hyötyä, mutta yhdessä ne voivat antaa hakkereille mahdollisuuden tehdä kaikenlaisia digitaalisia rikoksia, kuten tunnistetietojen varkauksia ja tietojenkalasteluhyökkäyksiä. Ja Meta on saanut tarpeekseen siitä.
Samalla kun sosiaalinen verkosto itse ryhtyy toimenpiteisiin näiden kaavinta kutsuvien automatisoitujen ohjelmien kiinni saamiseksi ja rajoittamiseksi, alusta on nyt päättänyt pyytää riippumattomia tietoturvatutkijoita avuksi laajentamalla bugipalkkio-ohjelmiaan. Sen tavoitteena ei ole vain korjata bugeja, jotka vuotavat tietoja sen käyttäjistä, vaan myös auttaa löytämään sellaisia tietokantoja, jotka sisältävät kaavittua tietoa.
"Virhepalkkio-ohjelma auttaa täyttämään aukot Facebookin suojautumisessa kaapimista vastaan ja varoittamaan Metaa netissä nousevista kaavituista tietokannoista", Paul Bischoff, tietosuojan puolestapuhuja ja Infosecin tutkimuslaitoksen Comparitechin toimittaja, kertoi Lifewirelle sähköpostitse..
The Scraping Menace
Meta viittasi kaappaamiseen "internetin laajuisena haasteena", kun se ilmoitti laajentavansa bug bounty -ohjelmaa, joka oli alun perin suunniteltu etsimään ohjelmistovirheitä alustaa käyttävästä koodista.
Bischoffin mukaan monet alustat ovat kieltäneet kaavinten käytön jopa niiden hallussa olevien julkisesti saatavilla olevien tietojen os alta. Tämä johtuu siitä, että huonot toimijat käyttävät usein henkilökohtaisia tunnistetietoja (PII), kuten käyttäjänimiä, syntymäpäiviä, sähköpostiosoitteita ja sijaintia kohdistaakseen käyttäjiä monimutkaisissa manipulointikampanjoissa.
Virhepalkkio-ohjelma auttaa täyttämään aukkoja Facebookin suojautumisessa kaapimista vastaan ja varoittamaan Metan kaavituista tietokannoista…
Bischoff kuitenkin lisää, että Facebookilla on ollut vaikeuksia erottaa toisistaan kaapijat ja lailliset käyttäjät, mikä on johtanut v altaviin tietovuotoihin aiemmin. Hän viittaa erityisesti vuotoon, joka paljastui maaliskuussa 2020, kun Comparitech teki yhteistyötä tietoturvatutkija Bob Diachenkon kanssa ja löysi tietokannan, joka sisälsi yli 300 miljoonan Facebook-käyttäjän käyttäjätunnukset ja puhelinnumerot.
Mutta kaapiminen ei ole aivan laitonta – parhaimmillaan se on tekno-oikeudellisen harmaalla alueella, koska sillä on myös laillisia käyttötarkoituksia.
"Vaikka kaapiminen on Facebookin käyttöehtojen vastaista, se ei ole täysin laitonta. Jotkut kaavintatoiminnot ovat haitallisia, mutta toiset ovat akateemisia tai journalistisia", Bischoff selvensi.
Halusin DOA
Virhepalkkio-ohjelman laajentamista koskevassa ilmoituksessaan Facebook mainitsi, että sen perustamisesta lähtien bug bounty -aloite on jakanut yli 800 palkkiota, yhteensä yli 2,3 miljoonaa dollaria tutkijoille yli 46 maasta. "Uusiin haasteisiin", kuten kaavinta, vastaaminen oli ohjelman luonnollinen jatko.
Vaikka kaapiminen on Facebookin käyttöehtojen vastaista, se ei ole ehdottomasti laitonta.
Metan mukaan laajennettu bugipalkkioohjelma palkitsee tietoturvatutkijat kahdella rintamalla.
Yksi, osana laajempaa tietoturvastrategiaansa, jonka tarkoituksena on tehdä kaapimisesta vaikeampaa ja "kallimpaa" uhkatekijöille, Meta palkitsee raportit alustassaan olevista vioista, joita huonot toimijat voivat hyödyntää ohittaakseen esteet, jotka se on pystyttänyt luopumaan kaapimisesta..
Toiseksi alusta sanoi, että se palkitsee myös datapalkkionmetsästäjiä, jotka ilmoittavat sille verkossa saatavilla olevista suojaamattomista tietokannoista, jotka sisältävät vähintään 100 000 ainutlaatuisen Facebook-käyttäjän henkilökohtaisia tietoja.
"Jos vahvistamme, että käyttäjän henkilökohtaiset tunnistetiedot kaavittiin ja on nyt saatavilla verkossa ei-metasivustolla, pyrimme ryhtymään tarvittaviin toimenpiteisiin, joihin voi kuulua yhteistyö asianomaisen tahon kanssa tietojoukon poistamiseksi tai laillisten keinojen etsiminen auttaaksemme varmistamaan, että ongelma ratkaistaan", Meta totesi ilmoituksessa.
Se lisäsi, että jos naarmuuntuminen johtui ulkoisen kehittäjän sovelluksen virheellisestä konfiguraatiosta, alusta toimii yhteistyössä kehittäjän kanssa vuodon tiivistämiseksi. Toisa alta se pyrkii myös varmistamaan, että isännöintipalvelu, johon hakkerit ovat säilyttäneet kaavitun tietokannan, poistaa sen.
Kaapivien palkkioiden palkkiot alkavat 500 dollarista, ja vaikka kaapimisvirheistä maksetaan rahallisia maksuja, tiedot kerätyistä tietokannoista myönnetään hyväntekeväisyyslahjoituksina toimittajien valitsemille voittoa tavoittelemattomille järjestöille.
"Parhaan tietomme mukaan tämä on alan ensimmäinen kaavinta bugipalkkioohjelma", Meta tiivisti. "Pyrimme käsittelemään parhaiden palkkionmetsästäjiemme palautetta ennen kuin laajennamme laajempaa yleisöä."
