Võtmed kaasavõtmiseks
- Meta on laiendanud oma vigade hüvitamise programmi, et tugevdada oma platvormi ja kasutajaid andmekaabitsate vastu.
- Andmete kraapimine on viinud selleni, et häkkerid on minevikus kogunud teavet enam kui 300 miljoni kasutaja kohta.
-
Meta väidab, et see on esimene, kes premeerib teadlasi nende abi eest andmete kogumisel.
Kas teid üllataks teadmine, et automatiseeritud programmid pühivad sotsiaalmeedia platvorme nagu Facebook, et koguda avalikult juurdepääsetavat teavet ja võrrelda seda andmebaasides? Üksikutest teabetükkidest ei pruugi palju kasu olla, kuid koos võivad need häkkeritel panna toime igasuguseid digitaalseid kuritegusid, nagu volikirjade vargused ja andmepüügirünnakud. Ja Metal on sellest küll alt.
Kuigi sotsiaalvõrgustik ise astub samme nende automatiseeritud programmide, mida nimetatakse kaabitsateks, kinni püüdmiseks ja piiramiseks, on platvorm nüüd otsustanud kutsuda appi sõltumatuid turvauurijaid, laiendades oma veatoetusprogramme. Selle eesmärk on mitte ainult parandada vigu, mis lekivad kasutajate kohta selliseid üksikasju, vaid ka aidata leida selliseid andmebaase, mis sisaldavad kogutud teavet.
"Vearahaprogramm aitab täita lüngad Facebooki kaitsemehhanismides kraapimise vastu ja hoiatab Metat kaabitud andmebaaside eest, mis ilmuvad veebis," ütles Paul Bischoff, Infoseci uurimiskeskuse Comparitechi privaatsuskaitsja ja toimetaja Lifewire'ile e-posti teel..
Kraapimise oht
Meta viitas kraapimisele kui "interneti hõlmavale väljakutsele", kuna ta teatas oma vigade haldamise programmi laiendamisest, mis oli algselt mõeldud platvormi toiteallika koodis tarkvaratõrgete leidmiseks.
Bischoffi sõnul on paljud platvormid keelanud skreeperite kasutamise isegi nende valduses oleva avalikult juurdepääsetava teabe puhul. Selle põhjuseks on asjaolu, et isikut tuvastavat teavet (PII), nagu kasutajanimed, sünnikuupäevad, e-posti aadressid ja asukoht, kasutavad halvad tegijad sageli kasutajate sihtimiseks keerukates sotsiaalse manipuleerimise kampaaniates.
Vearahaprogramm aitab täita lüngad Facebooki kaitsemehhanismides kraapimise vastu ja hoiatab Metat kaabitud andmebaaside eest…
Siiski lisab Bischoff, et Facebookil on olnud raskusi kaabitsate ja seaduslike kasutajate eristamisel, mis on minevikus põhjustanud tohutuid andmelekkeid. Ta osutab konkreetselt lekkele, mis ilmnes 2020. aasta märtsis, kui Comparitech tegi koostööd turvauurija Bob Diachenkoga ja avastas andmebaasi, mis sisaldas enam kui 300 miljoni Facebooki kasutaja ID-sid ja telefoninumbreid.
Kuid kraapimine ei ole otseselt ebaseaduslik – parimal juhul eksisteerib see tehno-juriidilises hallis piirkonnas, kuna sellel on ka legitiimne kasutus.
"Kuigi kraapimine on Facebooki kasutustingimustega vastuolus, ei ole see rangelt ebaseaduslik. Mõned kraapimistoimingud on pahatahtlikud, kuid teised on akadeemilised või ajakirjanduslikud," selgitas Bischoff.
Soovisin DOA-d
Oma teates vigade haldamise programmi laiendamise kohta mainis Facebook, et selle loomisest saadik on veatoetuse algatus andnud teadlastele rohkem kui 46 riigist üle 800 bounty, kokku üle 2,3 miljoni dollari. "Uute väljakutsetega" (nt kraapimine) tegelemine oli programmi loomulik jätk.
Kuigi kraapimine on Facebooki kasutustingimustega vastuolus, ei ole see rangelt ebaseaduslik.
Meta sõnul premeerib laiendatud vearahaprogramm turvauurijaid kahel rindel.
Üks osana oma suuremast turbestrateegiast, mille eesmärk on muuta kraapimine ohus osalejate jaoks raskemaks ja kulukamaks, annab Meta platvormi vigade kohta aruanded, mida halvad osalejad saavad ära kasutada, et ületada tõkked, mis on püstitatud kraapimise ärahoidmiseks..
Teiseks, platvorm teatas, et autasustab ka andmerahakütid, kes teavitavad seda võrgus saadaolevatest kaitsmata andmebaasidest, mis sisaldavad vähem alt 100 000 unikaalse Facebooki kasutaja isikuandmeid.
"Kui kinnitame, et kasutaja isikuandmete tuvastamine on kaabitud ja see on nüüd võrgus saadaval mitte-Meta saidil, töötame selle nimel, et võtta asjakohaseid meetmeid, mis võivad hõlmata koostööd asjaomase juriidilise isikuga andmestiku eemaldamiseks või juriidiliste vahendite otsimist et aidata tagada probleemi lahendamine," märkis Meta teates.
Lisati, et kui kraapimine oli tingitud välise arendaja rakenduse valest konfiguratsioonist, teeb platvorm lekke sulgemiseks koostööd arendajaga. Teisest küljest teeb see ka jõupingutusi tagamaks, et hostimisteenus, kuhu häkkerid on kraabitud andmebaasi paigutanud, võtaks selle maha.
Autasud kraapimispreemiate eest algavad 500 dollarist ja kuigi kraapimisvigade eest tuleb maksta rahalisi väljamakseid, antakse teavet kogutud andmebaaside kohta heategevuslike annetustena reporterite valitud mittetulundusühingutele.
"Meile teadaolev alt on see esimene vigade eest tasumise programm selles valdkonnas," võttis Meta kokku. "Töötame selle nimel, et võtta arvesse meie parimate pearahaküttide tagasisidet, enne kui laiendame ulatust suuremale vaatajaskonnale."
