閉じる
メニュー

Metaは、データがハッカーデータベースに保存されることを望んでいません

重要なポイント

  • Metaは、バグ報奨金プログラムを拡張して、プラットフォームとユーザーをデータスクレーパーから強化しました。
  • データスクレイピングにより、ハッカーは過去に3億人を超えるユーザーの情報を収集するようになりました。
  • Metaは、データスクレイピングを統治するための支援に対して研究者に報酬を与える最初のものであると主張しています。
3Dイラスト人の接続技術の概念のレンダリング、ビジネス科学と技術の未来的な抽象的な背景

MR.Cole_Photographer /ゲッティイメージズ

自動化されたプログラムがFacebookなどのソーシャルメディアプラットフォームを一掃して、公的にアクセス可能な情報を収集し、データベース内でそれらを照合することを知って驚かれるでしょうか。 個々の情報はあまり役に立たないかもしれませんが、それらを組み合わせることで、ハッカーが資格情報の盗難やフィッシング攻撃など、あらゆる種類のデジタル犯罪を実行できるようになります。 そして、メタはそれを十分に持っています。

ソーシャルネットワーク自体がスクレーパーと呼ばれるこれらの自動化されたプログラムをキャッチして削減するための措置を講じていますが、プラットフォームは現在、独立したセキュリティ研究者の助けを借りることを決定しました バグバウンティプログラムの拡大. その目標は、ユーザーに関するそのような詳細を漏らすバグを修正するだけでなく、スクレイプされた情報を保持するそのようなデータベースを見つけるのを助けることでもあります。

「バグバウンティプログラムは、Facebookのスクレイピングに対する防御のギャップを埋め、Web上に表示されるスクレイピングされたデータベースにMetaに警告するのに役立ちます。」 ポール・ビショフ、プライバシー擁護者およびInfosecリサーチアウトレットの編集者 Comparitech、Lifewireにメールで伝えた。

スクレイピングの脅威

Metaは、バグの拡大を発表したため、スクレイピングを「インターネット全体の課題」と呼んでいました。 バウンティプログラム。当初は、コード内のソフトウェアの不具合を検出するために設計されました。 プラットホーム。

Bischoffによると、多くのプラットフォームは、公的にアクセス可能な情報であっても、スクレーパーの使用を禁止しています。 これは、ユーザー名、生年月日、電子メールなどの個人を特定できる情報(PII)が原因です。 住所と場所は、悪意のある攻撃者が精巧なソーシャルエンジニアリングのユーザーを標的にするためによく使用されます キャンペーン。

「バグバウンティプログラムは、Facebookのスクレイピングに対する防御のギャップを埋め、メタにスクレイピングされたデータベースを警告するのに役立ちます... "

しかし、Bischoff氏は、Facebookはスクレーパーと正当なユーザーを区別するのに苦労しており、過去に大量のデータ漏洩を引き起こしたと付け加えています。 彼は特に、Comparitechがセキュリティ研究者とチームを組んだ2020年3月に表面化したリークを指摘しています ボブ・ディアチェンコ、 と データベースを発見しました これには、3億人を超えるFacebookユーザーのユーザーIDと電話番号が含まれていました。

しかし、スクレイピングは完全に違法ではありません。合法的な用途もあるため、せいぜいテクノリーガルの灰色の領域に存在します。

「スクレイピングはFacebookの利用規約に違反しているが、厳密には違法ではない。 一部のスクレイピング操作は悪意がありますが、他の操作は学術的またはジャーナリズム的です」とBischoff氏は明言しました。

DOAが欲しかった

Facebookは、バグ報奨金プログラムの拡大を発表した際に、その開始以来、バグについて言及しました。 バウンティイニシアチブは800以上のバウンティを授与し、46以上の研究者に合計230万ドル以上を授与しました 国。 スクレイピングなどの「新しい課題」への取り組みは、プログラムの自然な延長でした。

「スクレイピングはFacebookの利用規約に違反しますが、厳密に違法ではありません。」

Metaによると、拡張されたバグ報奨金プログラムは、2つの面でセキュリティ研究者に報いるでしょう。

1つは、脅威アクターのスクレイピングをより困難で「よりコストのかかる」ものにするためのより大きなセキュリティ戦略の一環として、Metaは 悪意のある攻撃者がそれを思いとどまらせるために建てられた障壁を回避するために悪用できるプラットフォームのバグに関する賞のレポート スクレイピング。

第二に、プラットフォームは、少なくとも100,000人のユニークなFacebookユーザーのスクレイプされたPIIを含むオンラインで利用可能な保護されていないデータベースについて通知するデータバウンティハンターも授与すると述べました。

「ユーザーPIIが削除され、Meta以外のサイトでオンラインで利用できるようになったことを確認した場合は、適切な措置を講じます。 関連するエンティティと協力してデータセットを削除したり、問題に確実に対処するための法的手段を模索したりすることも含まれます」とメタ氏は述べています。 発表。

ネットワーク接続回線上の人々の群衆

茅野雄一郎/ゲッティ画像

また、スクレイプが外部開発者のアプリケーションの設定ミスによるものである場合、プラットフォームは開発者と協力してリークを埋めるだろうと付け加えました。 一方で、ハッカーがスクレイピングされたデータベースを格納していたホスティングサービスが確実にダウンするようにすることも努力します。

スクレイピングバウンティの報酬は500ドルから始まり、スクレイピングバグには金銭的な支払いが伴いますが、情報 削られたデータベースについては、記者の非営利団体への慈善寄付の形で授与されます 選択します。

「私たちの知る限り、これは業界で最初のスクレイピングバグ報奨金プログラムです」とメタは要約しました。 「私たちは、より多くの聴衆に範囲を拡大する前に、トップバウンティハンターからのフィードバックに対処するよう努めます。」