Мета не жели да ваши подаци заврше у хакерским базама података

December 22, 2021
УВести Друштвени медији

Кључне Такеаваис

Мета је проширио свој програм награђивања грешака како би ојачао своју платформу и кориснике против стругача података.
Крегање података довело је до тога да су хакери прикупили информације о преко 300 милиона корисника у прошлости.
Мета тврди да је то прва која је наградила истраживаче за њихову помоћ да владају у прикупљању података.

3Д илустрација Рендеровање концепта технологије везе људи, футуристичка апстрактна позадина за пословну науку и технологију — МР.Цоле_Пхотограпхер / Гетти Имагес

Да ли би вас изненадило да знате да аутоматизовани програми хватају платформе друштвених медија као што је Фацебоок како би прикупили све јавно доступне информације и упоредили их у базе података? Појединачне информације можда неће бити од велике користи, али заједно могу омогућити хакерима да почине све врсте дигиталних злочина, као што су крађе акредитива и пхисхинг напади. И Мети је доста тога.

Док сама друштвена мрежа предузима кораке како би ухватила и смањила ове аутоматизоване програме зване сцраперс, платформа је сада одлучила да затражи помоћ независних истраживача безбедности до проширујући своје програме за награђивање грешака

. Његов циљ је не само да поправи грешке које пропуштају такве детаље о својим корисницима, већ и да помогне у проналажењу таквих база података које садрже извучене информације.

„Програм надокнаде за грешке ће помоћи да се попуне празнине у одбрани Фацебоок-а од сцрапинг-а и упозориће Мета на украдене базе података које се појављују на вебу“, Паул Бисцхофф, заговорник приватности и уредник истраживачког центра Инфосец Цомпаритецх, рекао је за Лифевире преко е-поште.

Тхе Сцрапинг Менаце

Мета је сцрапинг назвао „изазовом широм интернета“ пошто је најавио проширење своје грешке Боунти програм, који је првобитно дизајниран да пронађе софтверске грешке у коду који покреће платформа.

Према Бишофовим речима, многе платформе су забраниле употребу стругача, чак и за информације које поседују, а које су јавно доступне. То је зато што личне информације (ПИИ), као што су корисничка имена, датуми рођења, е-пошта адресе и локацију, често користе лоши актери да циљају кориснике у разрађеном друштвеном инжењерингу кампање.

„Програм надокнаде за грешке ће помоћи да се попуне празнине у одбрани Фацебоок-а од сцрапинг-а и упозориће Мета на скрапане базе података... "

Међутим, Бишоф додаје да се Фејсбук мучио да направи разлику између стругача и легитимних корисника, што је резултирало огромним цурењем података у прошлости. Он посебно указује на цурење које се појавило у марту 2020. када се Цомпаритецх удружио са истраживачем безбедности Боб Диацхенко, и открио базу података који је садржао корисничке ИД-ове и бројеве телефона преко 300 милиона корисника Фејсбука.

Али стругање није потпуно противзаконито — у најбољем случају постоји у техно-правно сивој зони јер има и легитимну употребу.

„Иако је стругање противно условима коришћења Фејсбука, није стриктно противзаконито. Неке операције гребања су злонамерне, али друге су академске или новинарске“, појаснио је Бишоф.

Вантед ДОА

У својој најави проширења програма за награђивање грешака, Фејсбук је поменуо да је грешка од свог почетка Боунти иницијатива доделила је преко 800 награда, у укупном износу од преко 2,3 милиона долара истраживачима из више од 46 земље. Рјешавање "нових изазова" као што је сцрапинг било је природно проширење програма.

„Иако је стругање противно условима коришћења Фацебоок-а, није стриктно противзаконито.

Према Мета, проширени програм за награђивање грешака ће наградити истраживаче безбедности на два фронта.

Прво, као део своје веће безбедносне стратегије како би скрапинг био тежи и „скупљи“ за актере претњи, Мета ће додељује извештаје о грешкама у својој платформи које лоши глумци могу да искористе да заобиђу баријере које је поставила да их одврати стругање.

Друго, платформа је рекла да ће наградити и ловце на уцјене за податке који је информишу о незаштићеним базама података доступним на мрежи које садрже извучене ПИИ најмање 100.000 јединствених корисника Фејсбука.

„Ако потврдимо да је ПИИ корисника уклоњен и да је сада доступан на мрежи на сајту који није Мета, радићемо на томе да предузмемо одговарајуће мере, које могу укључују рад са релевантним ентитетом на уклањању скупа података или тражење правних средстава како би се осигурало да се проблем реши“, навео је Мета у саопштење.

Гомила људи на мрежним линијама — Иуицхиро Цхино / Гетти Имагес

Додаје се да ће платформа радити са програмером да би затворио цурење, ако је грешка настала због погрешне конфигурације у апликацији екстерног програмера. С друге стране, такође ће уложити напоре да обезбеди да услуга хостинга у којој су хакери сместили украдену базу података уклони.

Награде за награде за сцрапинг почињу од 500 долара, и док грешке за сцрапинг подразумевају новчане исплате, информације о скрапаним базама података биће додељене у виду добротворних донација непрофитним организацијама новинара избор.

„Према нашим сазнањима, ово је први програм за награђивање грешака у индустрији“, резимирао је Мета. „Радићемо на томе да одговоримо на повратне информације наших врхунских ловаца на главе пре него што проширимо обим на већу публику.