Key takeaways
- Meta har udvidet sit bug bounty-program for at styrke sin platform og brugere mod dataskrabere.
- Dataskrabning har ført til, at hackere tidligere har indsamlet oplysninger om over 300 millioner brugere.
-
Meta hævder, at det er den første, der belønner forskere for deres hjælp til at regere med dataskrabning.
Ville det overraske dig at vide, at automatiserede programmer fejer sociale medieplatforme som Facebook for at høste offentligt tilgængelige oplysninger og samle dem i databaser? Individuelle stykker information er måske ikke til megen nytte, men sammen kan de gøre det muligt for hackere at begå alle former for digitale forbrydelser, såsom legitimationstyverier og phishing-angreb. Og Meta har fået nok af det.
Mens det sociale netværk selv tager skridt til at fange og begrænse disse automatiserede programmer kaldet skrabere, har platformen nu besluttet at få hjælp fra uafhængige sikkerhedsforskere ved at udvide sine bug-bounty-programmer. Dens mål er ikke blot at rette de fejl, der lækker sådanne detaljer om sine brugere, men også at hjælpe med at finde sådanne databaser, der indeholder skrabet information.
"Bug-bounty-programmet vil hjælpe med at udfylde hullerne i Facebooks forsvar mod skrabning og advare Meta om skrabede databaser, der dukker op på nettet," sagde Paul Bischoff, privatlivsadvokat og redaktør af Infosec-forskningsstedet Comparitech, til Lifewire via e-mail..
The Scraping Trussel
Meta omt alte scraping som en "internetdækkende udfordring", da det annoncerede udvidelsen af sit bug bounty-program, som oprindeligt var designet til at finde softwarefejl i koden, der driver platformen.
Ifølge Bischoff har mange platforme forbudt brugen af skrabere, selv for de oplysninger, de har, som er offentligt tilgængelige. Det skyldes, at personligt identificerbare oplysninger (PII), såsom brugernavne, fødselsdatoer, e-mailadresser og placering, ofte bruges af dårlige aktører til at målrette mod brugere i omfattende social engineering-kampagner.
Bug-bounty-programmet vil hjælpe med at udfylde hullerne i Facebooks forsvar mod skrabning og advare Meta om skrabede databaser…
Bischoff tilføjer dog, at Facebook har kæmpet for at skelne mellem skrabere og legitime brugere, hvilket har resulteret i enorme datalæk i fortiden. Han peger specifikt på lækagen, der dukkede op i marts 2020, da Comparitech gik sammen med sikkerhedsforsker Bob Diachenko og opdagede en database, der indeholdt bruger-id'er og telefonnumre på over 300 millioner Facebook-brugere.
Men skrabning er ikke direkte ulovligt - i bedste fald findes det i en tekno-juridisk gråzone, da det også har lovlige anvendelser.
"Selvom skrabning er imod Facebooks brugsbetingelser, er det ikke strengt ulovligt. Nogle skrabningsoperationer er ondsindede, men andre er akademiske eller journalistiske," præciserede Bischoff.
Øges DOA
I sin meddelelse om udvidelsen af bug-bounty-programmet nævnte Facebook, at bug-bounty-initiativet siden starten havde tildelt over 800 dusører, i alt over 2,3 millioner dollars til forskere fra mere end 46 lande. At tackle "nye udfordringer" såsom skrabning var en naturlig forlængelse af programmet.
Selv om skrabning er imod Facebooks brugsbetingelser, er det ikke strengt ulovligt.
Ifølge Meta vil det udvidede bug bounty-program belønne sikkerhedsforskere på to fronter.
Det ene, som en del af sin større sikkerhedsstrategi for at gøre skrabning sværere og "dyrere" for trusselsaktører, vil Meta tildele rapporter om fejl på sin platform, som dårlige aktører kan udnytte til at omgå de barrierer, det er opsat for at afskrække skrabning.
For det andet sagde platformen, at den også vil tildele data dusørjægere, der informerer den om ubeskyttede databaser, der er tilgængelige online, og som indeholder den skrabet PII fra mindst 100.000 unikke Facebook-brugere.
"Hvis vi bekræfter, at bruger-PII blev skrabet og nu er tilgængelig online på et ikke-Meta-websted, vil vi arbejde på at træffe passende foranst altninger, som kan omfatte samarbejde med den relevante enhed for at fjerne datasættet eller søge juridiske midler for at sikre, at problemet bliver løst, " noterede Meta i meddelelsen.
Den tilføjede, at hvis skrabet var på grund af en fejlkonfiguration i applikationen af en ekstern udvikler, ville platformen arbejde sammen med udvikleren for at lukke lækagen. På den anden side vil den også gøre en indsats for at sikre, at den hostingtjeneste, hvor hackerne har huset den skrabet database, fjerner den.
Belønningerne for skrabepræmierne starter ved $500, og mens skrabningsfejlene medfører monetære udbetalinger, vil oplysninger om skrabet databaser blive tildelt i form af velgørende donationer til nonprofitorganisationer efter journalisternes valg.
"Så vidt vi ved, er dette det første skrabe-bug-bounty-program i branchen," opsummerede Meta. "Vi vil arbejde på at imødekomme feedback fra vores bedste dusørjægere, før vi udvider omfanget til et større publikum."