Kulcs elvitelek
- A Meta kibővítette hibajavító programját, hogy megvédje platformját és felhasználóit az adatkaparókkal szemben.
- Az adatok kaparása oda vezetett, hogy a hackerek a múltban több mint 300 millió felhasználóról gyűjtöttek információkat.
-
A Meta azt állítja, hogy ő az első, aki megjutalmazza a kutatókat azért, hogy segítsenek uralkodni az adatgyűjtésben.
Meglepné, ha tudná, hogy az automatizált programok a közösségi média platformjain, például a Facebookon söpörnek be minden nyilvánosan hozzáférhető információt, és adatbázisokban gyűjtik össze azokat? Lehetséges, hogy az egyes információk nem sok hasznot hoznak, de együttesen lehetővé teszik a hackerek számára, hogy mindenféle digitális bűncselekményt, például hitelesítő adatok ellopását és adathalász támadásokat kövessenek el. És Metának elege van belőle.
Miközben a közösségi hálózat maga is lépéseket tesz ezeknek a kaparóknak nevezett automatizált programok felkutatására és visszaszorítására, a platform most úgy döntött, hogy független biztonsági kutatók segítségét kéri a hibajavító programjainak kiterjesztésével. Célja, hogy ne csak azokat a hibákat javítsa ki, amelyek ilyen részleteket szivárogtatnak ki a felhasználókról, hanem az is, hogy segítsen megtalálni az olyan adatbázisokat, amelyek lekapart információkat tartalmaznak.
"A hibajavító program segít kitölteni a hiányosságokat a Facebook kaparás elleni védekezésében, és figyelmezteti a Metát az interneten megjelenő lekapart adatbázisokra" - mondta Paul Bischoff, az Infosec kutatóintézetének, a Comparitech adatvédelmi szószólója és szerkesztője a Lifewire-nek e-mailben..
The Scraping Menace
A Meta "internetszintű kihívásként" emlegette a scrapingot, mivel bejelentette a hibajavító program kibővítését, amelyet eredetileg a platformot működtető kód szoftverhibáinak felderítésére terveztek.
Bischoff szerint sok platform betiltotta a kaparók használatát, még a birtokukban lévő, nyilvánosan hozzáférhető információk esetében is. Ennek az az oka, hogy a személyazonosításra alkalmas információkat (PII), például a felhasználóneveket, a születési dátumokat, az e-mail címeket és a tartózkodási helyet a rossz szereplők gyakran használják arra, hogy megcélozzák a felhasználókat bonyolult társadalmi manipulációs kampányokban.
A hibajavító program segít kitölteni a Facebook kaparás elleni védekezésének hiányosságait, és figyelmezteti a Metát a lekopott adatbázisokra…
Azonban Bischoff hozzáteszi, hogy a Facebook nehezen tudott különbséget tenni a kaparók és a jogos felhasználók között, ami a múltban hatalmas adatszivárgásokat eredményezett. Külön kiemeli a 2020 márciusában felbukkanó kiszivárogtatást, amikor a Comparitech Bob Diachenko biztonsági kutatóval együttműködve felfedezett egy adatbázist, amely több mint 300 millió Facebook-felhasználó felhasználói azonosítóját és telefonszámát tartalmazza.
A kaparás azonban nem teljesen illegális – a legjobb esetben is a techno-legális szürke övezetben létezik, mivel törvényes felhasználása is van.
"Bár a lekaparás ellenkezik a Facebook használati feltételeivel, nem szigorúan illegális. Egyes lekaparási műveletek rosszindulatúak, mások azonban tudományos vagy újságírói jellegűek" - magyarázta Bischoff.
DOA-t keresek
A bug bounty program kibővítéséről szóló bejelentésében a Facebook megemlítette, hogy a bug bounty kezdeményezés kezdete óta több mint 800 jutalmat ítélt oda, összesen több mint 2,3 millió dollár értékben több mint 46 ország kutatóinak. Az „új kihívások”, például a kaparás a program természetes kiterjesztése volt.
Bár a kaparás ellenkezik a Facebook használati feltételeivel, nem szigorúan illegális.
A Meta szerint a kibővített hibajavító program két fronton is jutalmazza a biztonsági kutatókat.
Egyrészt a Meta nagyobb biztonsági stratégiája részeként, hogy a kaparást megnehezítse és "költségesebbé" tegye a fenyegetések szereplői számára, a Meta díjazza azokat a jelentéseket, amelyek olyan hibákról szólnak a platformján, amelyeket a rossz szereplők kihasználhatnak, hogy megkerüljék az általa felállított akadályokat, hogy visszatartsák a kaparást..
Másodszor, a platform azt mondta, hogy díjazza azokat az adatfejvadászokat is, akik tájékoztatják az online elérhető, nem védett adatbázisokról, amelyek legalább 100 000 egyedi Facebook-felhasználó személyazonosító adatait tartalmazzák.
"Ha megerősítjük, hogy a felhasználói személyazonosításra alkalmas adatokat lemásolták, és már online is elérhető egy nem meta-webhelyen, akkor meg fogjuk tenni a megfelelő intézkedéseket, amelyek magukban foglalhatják az érintett entitással való együttműködést az adatkészlet eltávolítása érdekében vagy jogi eszközök keresését. a probléma megoldásának elősegítése érdekében" – jegyezte meg Meta a közleményben.
Hozzátette, hogy ha a kaparás egy külső fejlesztő alkalmazásának hibás konfigurációja miatt történt, a platform együttműködik a fejlesztővel a szivárgás megszüntetésében. Másrészt erőfeszítéseket tesz annak biztosítására is, hogy a tárhelyszolgáltatás, ahol a hackerek tárolták a kimásolt adatbázist, eltávolítsa azt.
A kaparási jutalmak 500 dollártól kezdődnek, és bár a kaparási hibák pénzbeli kifizetésekkel járnak, a kimásolt adatbázisokkal kapcsolatos információkat jótékonysági adományok formájában ítélik oda a riporterek által választott nonprofit szervezeteknek.
"Legjobb tudomásunk szerint ez az első hibajavító program az iparágban" - összegezte Meta. "Azon fogunk dolgozni, hogy kezeljük a legjobb fejvadászaink visszajelzéseit, mielőtt szélesebb közönségre terjesztenénk ki a hatókört."
