მთავარი წაღებები
- Meta-მ გააფართოვა შეცდომების პრემიის პროგრამა, რათა გააძლიეროს თავისი პლატფორმა და მომხმარებლები მონაცემთა მტვრევებისგან.
- მონაცემთა სკრაპმა გამოიწვია ჰაკერებმა წარსულში 300 მილიონზე მეტი მომხმარებლის შესახებ ინფორმაციის შეგროვება.
-
მეტა ამტკიცებს, რომ ის პირველია, ვინც დააჯილდოვა მკვლევარები მათი დახმარებისთვის, რათა მეფობდნენ მონაცემთა სკრიპში.
გაგიკვირდებათ, რომ იცოდეთ, რომ ავტომატიზირებული პროგრამები მოიცავს სოციალური მედიის პლატფორმებს, როგორიცაა Facebook, რათა მოიპოვონ საჯაროდ ხელმისაწვდომი ინფორმაცია და დააკავშირონ ისინი მონაცემთა ბაზებში? ცალკეული ინფორმაცია შეიძლება არ იყოს დიდად გამოსაყენებელი, მაგრამ ერთად მათ შეუძლიათ ჰაკერებს საშუალება მისცენ ჩაიდინონ ყველა სახის ციფრული დანაშაული, როგორიცაა რწმუნებათა სიგელების ქურდობა და ფიშინგ შეტევები.და მეტას ეს საკმარისი ჰქონდა.
მიუხედავად იმისა, რომ თავად სოციალური ქსელი დგამს ნაბიჯებს ამ ავტომატიზირებული პროგრამების დასაჭერად და შესამცირებლად, სახელწოდებით scrapers, პლატფორმამ ახლა გადაწყვიტა მიმართოს უსაფრთხოების დამოუკიდებელი მკვლევარების დახმარებას შეცდომების სიკეთის პროგრამების გაფართოებით. მისი მიზანია არა მხოლოდ გამოასწოროს შეცდომები, რომლებიც ავრცელებს ამგვარ დეტალებს მისი მომხმარებლების შესახებ, არამედ ასევე დაეხმაროს ისეთი მონაცემთა ბაზების პოვნაში, რომლებიც შეიცავს ამოღებულ ინფორმაციას.
"შეცდომის სიკეთის პროგრამა დაეხმარება შეავსოს ფეისბუქის დაცვაში არსებული ხარვეზები სკრაპინგისგან და მეტას გააფრთხილოს გაფცქვნილი მონაცემთა ბაზების შესახებ, რომლებიც ჩნდება ინტერნეტში", განუცხადა პოლ ბიშოფმა, კონფიდენციალურობის ადვოკატმა და Infosec კვლევითი გამოშვების Comparitech-ის რედაქტორმა Lifewire-ს ელექტრონული ფოსტით..
გახეხვის საფრთხე
მეტამ მოიხსენია სკრაპინგი, როგორც "ინტერნეტის მასშტაბის გამოწვევა", რადგან მან გამოაცხადა თავისი bug bounty პროგრამის გაფართოება, რომელიც თავდაპირველად შეიქმნა იმისათვის, რომ ეპოვა პროგრამული ხარვეზები იმ კოდში, რომელიც აძლიერებს პლატფორმას.
ბიშოფის მიხედვით, ბევრმა პლატფორმამ აკრძალა სკრაპერების გამოყენება, თუნდაც მათთვის ხელმისაწვდომი ინფორმაციისთვის. ეს იმიტომ ხდება, რომ პერსონალური იდენტიფიცირებადი ინფორმაცია (PII), როგორიცაა მომხმარებლის სახელები, დაბადების თარიღები, ელფოსტის მისამართები და მდებარეობა, ხშირად გამოიყენება ცუდი მოქმედი პირების მიერ მომხმარებლების სამიზნე სოციალური ინჟინერიის დახვეწილ კამპანიებში.
შეცდომის სიკეთის პროგრამა დაგეხმარებათ შეავსოთ ხარვეზები ფეისბუქის დაცვაში სკრეპისგან და მეტას გააფრთხილოს გახეხილი მონაცემთა ბაზების შესახებ…
თუმცა, ბიშოფი დასძენს, რომ ფეისბუქი იბრძოდა განასხვავოს სკრაპერები და ლეგიტიმური მომხმარებლები, რამაც გამოიწვია წარსულში მონაცემთა უზარმაზარი გაჟონვა. ის კონკრეტულად მიუთითებს გაჟონვაზე, რომელიც გამოჩნდა 2020 წლის მარტში, როდესაც Comparitech-მა გაერთიანდა უსაფრთხოების მკვლევარ ბობ დიაჩენკოსთან და აღმოაჩინა მონაცემთა ბაზა, რომელიც შეიცავდა 300 მილიონზე მეტი Facebook მომხმარებლის მომხმარებლის ID-ებს და ტელეფონის ნომრებს.
მაგრამ გახეხვა არ არის აშკარა უკანონო - საუკეთესო შემთხვევაში ის არსებობს ტექნოლეგალურ ნაცრისფერ ზონაში, რადგან მას ასევე აქვს ლეგიტიმური გამოყენება.
"მიუხედავად იმისა, რომ სკრეპინგი ეწინააღმდეგება Facebook-ის გამოყენების პირობებს, ეს არ არის მკაცრად უკანონო. ზოგიერთი სკრეპინგის ოპერაცია მავნეა, მაგრამ სხვები აკადემიური ან ჟურნალისტურია," განმარტა ბიშოფმა.
სასურველი DOA
შეცდომების ბონუტი პროგრამის გაფართოების შესახებ განცხადებაში ფეისბუქმა აღნიშნა, რომ დაარსების დღიდან Bug Bounty ინიციატივამ დააჯილდოვა 800-ზე მეტი ბონუტი, საერთო ჯამში 2.3 მილიონ დოლარზე მეტი მკვლევარებს 46-ზე მეტი ქვეყნიდან. „ახალი გამოწვევების“დაძლევა, როგორიცაა გახეხვა, პროგრამის ბუნებრივი გაგრძელება იყო.
მიუხედავად იმისა, რომ სკრეპინგი ეწინააღმდეგება Facebook-ის გამოყენების პირობებს, ეს არ არის მკაცრად უკანონო.
მეტას მიხედვით, შეცდომების პრემიის გაფართოებული პროგრამა დააჯილდოებს უსაფრთხოების მკვლევარებს ორ ფრონტზე.
პირველი, როგორც უსაფრთხოების უფრო დიდი სტრატეგიის ნაწილი, რათა გაძნელდეს და "უფრო ძვირი" გახადოს საფრთხის მოქმედი პირებისთვის, Meta დააჯილდოებს ანგარიშებს თავის პლატფორმაზე არსებული შეცდომების შესახებ, რომლებიც ცუდ მსახიობებს შეუძლიათ გამოიყენონ ბარიერების გვერდის ავლით, რომელიც აშენდა, რათა თავიდან აიცილონ სკრაპინგი..
მეორე, პლატფორმამ განაცხადა, რომ ის ასევე დააჯილდოებს მონაცემთა პრემიაზე მონადირეებს, რომლებიც აცნობებენ მას ონლაინ ხელმისაწვდომი დაუცველი მონაცემთა ბაზების შესახებ, რომლებიც შეიცავს მინიმუმ 100,000 Facebook-ის უნიკალურ მომხმარებლის PII-ს.
თუ ჩვენ დავადასტურებთ, რომ მომხმარებლის PII გატეხილია და ახლა ხელმისაწვდომია ონლაინ არამეტა-საიტზე, ჩვენ ვიმუშავებთ შესაბამისი ზომების მიღებაზე, რაც შეიძლება მოიცავდეს შესაბამის ერთეულთან მუშაობას მონაცემთა ნაკრების ამოსაღებად ან იურიდიული საშუალებების ძიებას პრობლემის გადაჭრის უზრუნველსაყოფად“, - აღნიშნა მეტამ განცხადებაში.
დამატებულია, რომ თუ გახეხვა გამოწვეული იყო გარე დეველოპერის აპლიკაციაში არასწორი კონფიგურაციის გამო, პლატფორმა იმუშავებს დეველოპერთან გაჟონვის ჩასართავად. მეორეს მხრივ, ის ასევე შეეცდება, რომ ჰოსტინგის სერვისმა, სადაც ჰაკერებმა განათავსეს გახეხილი მონაცემთა ბაზა, წაშალოს იგი.
ჯილდოები სკრეპინგის ბონუსებისთვის იწყება $500-დან და სანამ სკრაპინგის შეცდომები ფულად გადახდას გულისხმობს, ინფორმაცია გახეხილი მონაცემთა ბაზების შესახებ გადაეცემა საქველმოქმედო შემოწირულობების სახით არაკომერციულ ორგანიზაციებს, რომლებსაც რეპორტიორები აირჩევენ.
"ჩვენი ცოდნის მიხედვით, ეს არის პირველი ხარვეზების პრემიის პროგრამა ინდუსტრიაში", - შეაჯამა მეტამ. "ჩვენ ვიმუშავებთ, რათა მივმართოთ გამოხმაურებას ჩვენი საუკეთესო ბონუსებზე მონადირეებისგან, სანამ გავაფართოვებთ ფარგლებს უფრო დიდი აუდიტორიისთვის."
