Meta nenori, kad jūsų duomenys atsidurtų įsilaužėlių duomenų bazėse

December 22, 2021
ĮŽinios Socialinė žiniasklaida

Key Takeaways

„Meta“ išplėtė savo klaidų mažinimo programą, kad sustiprintų savo platformą ir vartotojus nuo duomenų grandiklių.
Dėl duomenų rinkimo įsilaužėliai praeityje sukaupė daugiau nei 300 milijonų vartotojų informaciją.
Meta teigia, kad tai pirmasis, kuris apdovanoja tyrėjus už jų pagalbą valdant duomenis.

3D iliustracija Žmonių ryšio technologijos koncepcijos atvaizdavimas, Futuristinis abstraktus verslo mokslo ir technologijų fonas — MR.Cole_Photographer / Getty Images

Ar nustebintumėte sužinoję, kad automatizuotos programos šluoja socialinės žiniasklaidos platformas, tokias kaip „Facebook“, kad surinktų bet kokią viešai prieinamą informaciją ir sugretintų ją duomenų bazėse? Atskiros informacijos dalys gali būti nenaudingos, tačiau kartu jos gali sudaryti sąlygas įsilaužėliams vykdyti visų rūšių skaitmeninius nusikaltimus, pvz., kredencialų vagystes ir sukčiavimo atakas. Ir Metai to jau gana.

Nors pats socialinis tinklas imasi veiksmų, kad gautų ir apribotų šias automatizuotas programas, vadinamas grandikliais, platforma nusprendė pasitelkti nepriklausomus saugumo tyrinėtojus. plečiant savo bug bounty programas

. Jos tikslas yra ne tik ištaisyti klaidas, kurios nutekina tokią informaciją apie vartotojus, bet ir padėti rasti tokias duomenų bazes, kuriose saugoma nuskaityta informacija.

„Big Bounty programa padės užpildyti „Facebook“ apsaugos nuo įbrėžimų spragas ir įspėti „Meta“ apie iškrapštytas duomenų bazes, kurios atsiranda internete“, Paulius Bischoffas, privatumo gynėjas ir „Infosec“ tyrimų centro redaktorius Comparitech, sakė Lifewire el. paštu.

Graužimo grėsmė

Pranešusi apie savo klaidos išplėtimą, „Meta“ vadino grandymą kaip „interneto iššūkį“. „Bounty“ programa, kuri iš pradžių buvo sukurta siekiant aptikti programinės įrangos trikdžius kode, kuris valdo platforma.

Bischoff teigimu, daugelis platformų uždraudė naudoti grandiklius, net ir dėl jų turimos informacijos, kuri yra viešai prieinama. Taip yra todėl, kad asmenį identifikuojanti informacija (PII), pvz., naudotojų vardai, gimimo datos, el adresus ir vietą dažnai naudoja blogi veikėjai, norėdami nukreipti naudotojus į sudėtingą socialinę inžineriją kampanijos.

„Big Bounty programa padės užpildyti „Facebook“ apsaugos nuo įbrėžimų spragas ir įspėti „Meta“ apie nukopijuotas duomenų bazes... "

Tačiau Bischoffas priduria, kad „Facebook“ stengėsi atskirti grandiklius nuo teisėtų vartotojų, todėl praeityje buvo nutekėję didžiuliai duomenys. Jis konkrečiai atkreipia dėmesį į nutekėjimą, kuris iškilo 2020 m. kovo mėn., kai „Comparitech“ bendradarbiavo su saugumo tyrėju. Bobas Diačenko, ir atrado duomenų bazę kuriame buvo daugiau nei 300 milijonų „Facebook“ vartotojų vartotojo ID ir telefono numeriai.

Tačiau grandymas nėra visiškai neteisėtas – geriausiu atveju jis egzistuoja techno-legalinėje pilkojoje srityje, nes jis taip pat turi teisėtą naudojimą.

„Nors grandymas prieštarauja Facebook naudojimo sąlygoms, tai nėra griežtai neteisėta. Kai kurios grandymo operacijos yra kenkėjiškos, bet kitos yra akademinės arba žurnalistinės“, – paaiškino Bischoffas.

Noriu DOA

Savo pranešime apie klaidų programos išplėtimą „Facebook“ paminėjo, kad nuo pat jos pradžios klaida „Bounty“ iniciatyva skyrė daugiau nei 800 premijų, iš viso daugiau nei 2,3 mln. USD tyrėjams iš daugiau nei 46 šalyse. „Naujų iššūkių“ sprendimas, pavyzdžiui, grandymas, buvo natūralus programos tęsinys.

„Nors grandymas prieštarauja Facebook naudojimo sąlygoms, tai nėra griežtai neteisėta.

„Meta“ teigimu, išplėsta klaidų programa apdovanos saugumo tyrinėtojus dviem frontais.

Viena, kaip dalis didesnės saugumo strategijos, kuria siekiama, kad grėsmės veikėjams būtų sunkiau ir „brangiau“ išgryninti, „Meta“ apdovanokite pranešimus apie platformos klaidas, kurias blogi veikėjai gali išnaudoti norėdami apeiti kliūtis, kurias ji sukuria tam, kad atgrasytų grandymas.

Antra, platforma teigė, kad ji taip pat apdovanos duomenų medžiotojus, kurie informuos jai apie neapsaugotas duomenų bazes, pasiekiamas internete, kuriose yra bent 100 000 unikalių „Facebook“ vartotojų AII.

„Jei patvirtinsime, kad naudotojo AII buvo nuskaityta ir dabar pasiekiama internete ne meta svetainėje, imsimės atitinkamų priemonių, kurios gali apima darbą su atitinkamu subjektu siekiant pašalinti duomenų rinkinį arba ieškoti teisinių priemonių, kurios padėtų užtikrinti, kad problema būtų išspręsta“, – pažymėjo Meta. skelbimas.

Minia žmonių tinklo ryšio linijose — Yuichiro Chino / Getty Images

Ji pridūrė, kad jei įbrėžimas įvyko dėl netinkamos išorinio kūrėjo programos konfigūracijos, platforma bendradarbiaus su kūrėju, kad pašalintų nuotėkį. Kita vertus, ji taip pat stengsis užtikrinti, kad prieglobos paslauga, kurioje įsilaužėliai saugojo nukopijuotą duomenų bazę, ją pašalintų.

Atlygis už išgrynintus atlygius prasideda nuo 500 USD, o nors nuskaitymo klaidos reikalauja piniginių išmokų, informacija apie iškrapštytas duomenų bazes bus apdovanotos labdaros aukomis žurnalistų ne pelno organizacijoms. pasirenkant.

„Mūsų žiniomis, tai pirmoji programinė įranga, skirta kompensuoti klaidas pramonėje“, – reziumavo Meta. „Stengsimės, kad atsižvelgtume į mūsų geriausių galvų medžiotojų atsiliepimus, prieš išplėsdami taikymo sritį didesnei auditorijai.