Key takeaways
- Meta har utvidet sitt bug bounty-program for å styrke plattformen og brukerne mot dataskrapere.
- Dataskraping har ført til at hackere har samlet informasjon om over 300 millioner brukere i det siste.
-
Meta hevder at det er den første som belønner forskere for deres hjelp til å regjere i dataskraping.
Ville det overraske deg å vite at automatiserte programmer feier gjennom sosiale medieplattformer som Facebook for å samle all offentlig tilgjengelig informasjon og samle dem i databaser? Individuelle deler av informasjon er kanskje ikke til mye nytte, men sammen kan de gjøre det mulig for hackere å begå alle typer digitale forbrytelser, for eksempel legitimasjonstyveri og phishing-angrep. Og Meta har fått nok av det.
Mens det sosiale nettverket selv tar skritt for å fange opp og begrense disse automatiserte programmene k alt skrapere, har plattformen nå bestemt seg for å få hjelp av uavhengige sikkerhetsforskere ved å utvide sine bug-bounty-programmer. Målet er ikke bare å fikse feilene som lekker slike detaljer om brukerne, men også å hjelpe til med å finne slike databaser som inneholder skrapet informasjon.
"Bug-premieprogrammet vil bidra til å fylle hullene i Facebooks forsvar mot skraping og varsle Meta til skrapte databaser som dukker opp på nettet," sa Paul Bischoff, personvernadvokat og redaktør av Infosec-forskningsutsalget Comparitech, til Lifewire via e-post.
The Scraping Menace
Meta omt alte skraping som en "internett-omfattende utfordring" da den annonserte utvidelsen av sitt bug bounty-program, som opprinnelig ble designet for å finne programvarefeil i koden som driver plattformen.
Ifølge Bischoff har mange plattformer forbudt bruk av skrapere, selv for informasjonen de har som er offentlig tilgjengelig. Det er fordi personlig identifiserbar informasjon (PII), som brukernavn, fødselsdatoer, e-postadresser og plassering, ofte brukes av dårlige aktører for å målrette mot brukere i forseggjorte sosiale ingeniørkampanjer.
Bug-premieprogrammet vil bidra til å fylle hullene i Facebooks forsvar mot skraping og varsle Meta om skrapte databaser…
Bischoff legger imidlertid til at Facebook har slitt med å skille mellom skrapere og legitime brukere, noe som har resultert i enorme datalekkasjer tidligere. Han peker spesifikt på lekkasjen som dukket opp i mars 2020 da Comparitech slo seg sammen med sikkerhetsforsker Bob Diachenko, og oppdaget en database som inneholdt bruker-IDer og telefonnumre til over 300 millioner Facebook-brukere.
Men skraping er ikke direkte ulovlig - i beste fall eksisterer det i en tekno-juridisk gråsone siden den også har legitim bruk.
"Selv om skraping er i strid med Facebooks bruksvilkår, er det ikke strengt ulovlig. Noen skrapingoperasjoner er ondsinnede, men andre er akademiske eller journalistiske," forklarte Bischoff.
Ønskes DOA
I sin kunngjøring om utvidelsen av bug bounty-programmet nevnte Facebook at siden starten har bug bounty-initiativet tildelt over 800 dusører, tot alt over $2,3 millioner til forskere fra mer enn 46 land. Å takle «nye utfordringer» som å skrape var en naturlig forlengelse av programmet.
Selv om skraping er i strid med Facebooks brukervilkår, er det ikke strengt ulovlig.
Ifølge Meta vil det utvidede bug-bounty-programmet belønne sikkerhetsforskere på to fronter.
Det ene, som en del av sin større sikkerhetsstrategi for å gjøre skraping vanskeligere og "dyrere" for trusselaktører, vil Meta tildele rapporter om feil på plattformen som dårlige aktører kan utnytte for å omgå barrierene den er satt opp for å motvirke skraping.
For det andre sa plattformen at den også vil tildele dusørjegere som informerer den om ubeskyttede databaser tilgjengelig på nettet som inneholder den skrapte PII-en til minst 100 000 unike Facebook-brukere.
"Hvis vi bekrefter at bruker-PII ble skrapet og nå er tilgjengelig online på et nettsted som ikke er meta, vil vi arbeide for å iverksette passende tiltak, som kan inkludere samarbeid med den relevante enheten for å fjerne datasettet eller søke juridiske midler for å sikre at problemet blir løst, " bemerket Meta i kunngjøringen.
Det la til at hvis skrapet var på grunn av en feilkonfigurasjon i applikasjonen til en ekstern utvikler, ville plattformen samarbeide med utvikleren for å tette lekkasjen. På den annen side vil den også gjøre en innsats for å sikre at vertstjenesten der hackerne har plassert den skrapte databasen tar den ned.
Belønningene for skrapepremiene starter på $500, og mens skrapefeilene medfører pengeutbetalinger, vil informasjon om skrapte databaser bli tildelt i form av veldedige donasjoner til ideelle organisasjoner etter journalistenes valg.
"Så vidt vi vet, er dette det første programmet for skraping av insekter i bransjen," oppsummerte Meta. "Vi vil jobbe for å gi tilbakemeldinger fra våre beste dusørjegere før vi utvider omfanget til et større publikum."
