Βασικά Takeaways
- Η Meta επέκτεινε το πρόγραμμα bounty bug για να ενισχύσει την πλατφόρμα και τους χρήστες της έναντι των scrapers δεδομένων.
- Η απόξεση δεδομένων οδήγησε τους χάκερ να συγκεντρώσουν πληροφορίες για περισσότερους από 300 εκατομμύρια χρήστες στο παρελθόν.
-
Η Meta ισχυρίζεται ότι είναι η πρώτη που ανταμείβει τους ερευνητές για τη βοήθειά τους να κυριαρχήσουν στην απόξεση δεδομένων.
Η
Θα σας εκπλήσσει αν γνωρίζετε ότι αυτοματοποιημένα προγράμματα σαρώνουν πλατφόρμες μέσων κοινωνικής δικτύωσης, όπως το Facebook, για να συλλέξουν οποιαδήποτε δημόσια προσβάσιμη πληροφορία και να τις συγκεντρώσουν σε βάσεις δεδομένων; Τα μεμονωμένα κομμάτια πληροφοριών μπορεί να μην είναι πολύ χρήσιμα, αλλά μαζί μπορούν να επιτρέψουν στους χάκερ να διαπράξουν όλα τα είδη ψηφιακών εγκλημάτων, όπως κλοπές διαπιστευτηρίων και επιθέσεις phishing. Και ο Μέτα έχει βαρεθεί.
Ενώ το ίδιο το κοινωνικό δίκτυο λαμβάνει μέτρα για να πιάσει και να περιορίσει αυτά τα αυτοματοποιημένα προγράμματα που ονομάζονται scrapers, η πλατφόρμα αποφάσισε τώρα να ζητήσει τη βοήθεια ανεξάρτητων ερευνητών ασφάλειας επεκτείνοντας τα προγράμματα επιβράβευσης σφαλμάτων. Στόχος του δεν είναι απλώς να διορθώσει τα σφάλματα που διαρρέουν τέτοιες λεπτομέρειες σχετικά με τους χρήστες του, αλλά και να βοηθήσει στην εύρεση τέτοιων βάσεων δεδομένων που περιέχουν αποκομμένες πληροφορίες.
"Το πρόγραμμα επιβράβευσης σφαλμάτων θα συμβάλει στην κάλυψη των κενών στην άμυνα του Facebook κατά της απόξεσης και θα ειδοποιήσει το Meta για τις βάσεις δεδομένων που εμφανίζονται στον Ιστό", δήλωσε ο Paul Bischoff, υπέρμαχος της ιδιωτικής ζωής και συντάκτης του ερευνητικού κέντρου Infosec Comparitech, στο Lifewire μέσω email..
The Scraping Menace
Η Meta αναφέρθηκε στο scraping ως μια "πρόκληση σε όλο το διαδίκτυο", καθώς ανακοίνωσε την επέκταση του προγράμματος bounty bug, το οποίο αρχικά σχεδιάστηκε για να εντοπίσει σφάλματα λογισμικού στον κώδικα που τροφοδοτεί την πλατφόρμα.
Σύμφωνα με τον Bischoff, πολλές πλατφόρμες έχουν απαγορεύσει τη χρήση ξύστρας, ακόμη και για τις πληροφορίες που κατέχουν και είναι δημόσια προσβάσιμες. Αυτό συμβαίνει επειδή οι πληροφορίες προσωπικής ταυτοποίησης (PII), όπως ονόματα χρήστη, ημερομηνίες γέννησης, διευθύνσεις ηλεκτρονικού ταχυδρομείου και τοποθεσία, χρησιμοποιούνται συχνά από κακούς παράγοντες για τη στόχευση χρηστών σε περίτεχνες καμπάνιες κοινωνικής μηχανικής.
Το πρόγραμμα επιβράβευσης σφαλμάτων θα συμβάλει στην κάλυψη των κενών στις άμυνες του Facebook κατά της απόξεσης και θα ειδοποιήσει το Meta για τις βάσεις δεδομένων που έχουν κοπεί…
Ωστόσο, ο Bischoff προσθέτει ότι το Facebook έχει δυσκολευτεί να διακρίνει μεταξύ των scrapers και των νόμιμων χρηστών, γεγονός που είχε ως αποτέλεσμα τεράστιες διαρροές δεδομένων στο παρελθόν. Επισημαίνει συγκεκριμένα τη διαρροή που εμφανίστηκε τον Μάρτιο του 2020 όταν η Comparitech συνεργάστηκε με τον ερευνητή ασφαλείας Bob Diachenko και ανακάλυψε μια βάση δεδομένων που περιείχε τα αναγνωριστικά χρηστών και τους αριθμούς τηλεφώνου περισσότερων από 300 εκατομμυρίων χρηστών του Facebook.
Αλλά η απόξεση δεν είναι εντελώς παράνομη - στην καλύτερη περίπτωση υπάρχει σε μια τεχνο-νομική γκρίζα ζώνη, καθώς έχει και νόμιμες χρήσεις.
"Αν και η απόξεση είναι αντίθετη με τους όρους χρήσης του Facebook, δεν είναι αυστηρά παράνομη. Ορισμένες λειτουργίες απόξεσης είναι κακόβουλες, αλλά άλλες είναι ακαδημαϊκές ή δημοσιογραφικές", διευκρίνισε ο Bischoff.
Ζητείται DOA
Στην ανακοίνωσή του για την επέκταση του προγράμματος bounty bug, το Facebook ανέφερε ότι από την έναρξή του, η πρωτοβουλία bounty bug είχε απονείμει πάνω από 800 bounties, συνολικού ύψους άνω των 2,3 εκατομμυρίων δολαρίων σε ερευνητές από περισσότερες από 46 χώρες. Η αντιμετώπιση "νέων προκλήσεων", όπως η απόξεση ήταν μια φυσική επέκταση του προγράμματος.
Αν και η απόξεση είναι ενάντια στους όρους χρήσης του Facebook, δεν είναι αυστηρά παράνομη.
Σύμφωνα με το Meta, το διευρυμένο πρόγραμμα bounty bug θα ανταμείψει τους ερευνητές ασφάλειας σε δύο μέτωπα.
Πρώτον, ως μέρος της ευρύτερης στρατηγικής ασφαλείας της για να καταστήσει την απόξεση πιο δύσκολη και "πιο δαπανηρή" για τους παράγοντες απειλών, η Meta θα βραβεύσει αναφορές σχετικά με σφάλματα στην πλατφόρμα της που μπορούν να εκμεταλλευτούν οι κακοί ηθοποιοί για να παρακάμψουν τα εμπόδια που έχει δημιουργήσει για να αποτρέψει την απόξεση.
Δεύτερον, η πλατφόρμα είπε ότι θα βραβεύσει επίσης τους κυνηγούς επικηρυγμένων δεδομένων που την ενημερώνουν για μη προστατευμένες βάσεις δεδομένων που είναι διαθέσιμες στο διαδίκτυο και περιέχουν τα αποκομμένα PII τουλάχιστον 100.000 μοναδικών χρηστών του Facebook.
"Εάν επιβεβαιώσουμε ότι το PII χρήστη έχει αποξεσθεί και είναι πλέον διαθέσιμο στο διαδίκτυο σε ιστότοπο που δεν είναι Meta, θα εργαστούμε για να λάβουμε τα κατάλληλα μέτρα, τα οποία μπορεί να περιλαμβάνουν συνεργασία με τη σχετική οντότητα για την κατάργηση του συνόλου δεδομένων ή αναζήτηση νομικών μέσων για να διασφαλιστεί η αντιμετώπιση του ζητήματος ", σημείωσε ο Μέτα στην ανακοίνωση.
Πρόσθεσε ότι εάν η απόξεση οφειλόταν σε εσφαλμένη διαμόρφωση στην εφαρμογή ενός εξωτερικού προγραμματιστή, η πλατφόρμα θα συνεργαζόταν με τον προγραμματιστή για να καλύψει τη διαρροή. Από την άλλη πλευρά, θα καταβάλει επίσης προσπάθειες για να διασφαλίσει ότι η υπηρεσία φιλοξενίας όπου οι χάκερ έχουν στεγάσει την αποκομμένη βάση δεδομένων θα την καταργήσει.
Οι ανταμοιβές για τα bounties απόξεσης ξεκινούν από 500 $ και ενώ τα σφάλματα απόξεσης συνεπάγονται χρηματικές πληρωμές, οι πληροφορίες σχετικά με τις βάσεις δεδομένων που έχουν αφαιρεθεί θα απονέμονται με τη μορφή φιλανθρωπικών δωρεών σε μη κερδοσκοπικούς οργανισμούς της επιλογής των δημοσιογράφων.
"Από όσο γνωρίζουμε, αυτό είναι το πρώτο πρόγραμμα επιβράβευσης σφαλμάτων απόξεσης στον κλάδο", συνόψισε η Meta. "Θα εργαστούμε για να ανταποκριθούμε στα σχόλια από τους κορυφαίους κυνηγούς επικηρυγμένων μας πριν επεκτείνουμε το εύρος σε μεγαλύτερο κοινό."