موارد مهم
- Meta برنامه باگ بوونتی خود را گسترش داده است تا پلتفرم و کاربران خود را در برابر خراش دهنده های داده تقویت کند.
- خراش داده ها منجر به جمع آوری اطلاعات بیش از 300 میلیون کاربر توسط هکرها در گذشته شده است.
-
Meta ادعا می کند که این اولین کسی است که به محققان برای کمک آنها در مدیریت داده ها پاداش می دهد.
آیا شما را شگفت زده می کند که بدانید برنامه های خودکار پلتفرم های رسانه های اجتماعی مانند فیس بوک را برای جمع آوری اطلاعات در دسترس عموم و جمع آوری آنها در پایگاه داده ها جارو می کنند؟ تک تک اطلاعات ممکن است کاربرد چندانی نداشته باشند، اما در کنار هم می توانند هکرها را قادر به ارتکاب انواع جرایم دیجیتالی مانند سرقت مدارک و حملات فیشینگ کنند.و متا به اندازه کافی از آن لذت برده است.
در حالی که خود شبکه اجتماعی اقداماتی را برای دستگیری و محدود کردن این برنامه های خودکار به نام scraper انجام می دهد، این پلتفرم اکنون تصمیم گرفته است با گسترش برنامه های پاداش باگ خود از محققان مستقل امنیتی کمک بگیرد. هدف آن نه تنها رفع اشکالاتی است که چنین جزئیاتی را در مورد کاربرانش درز می کنند، بلکه کمک به یافتن چنین پایگاه هایی است که اطلاعات خراشیده شده را در خود نگه می دارند.
پل بیشوف، مدافع حریم خصوصی و سردبیر موسسه تحقیقاتی Infosec Comparitech، از طریق ایمیل به Lifewire گفت: "برنامه پاداش اشکال به پر کردن شکاف های دفاعی فیس بوک در برابر خراش دادن و هشدار متا به پایگاه های داده خراشیده شده در وب کمک می کند.".
تهدید خراشیدن
Meta از خراشیدن به عنوان یک "چالش در سراسر اینترنت" یاد کرد زیرا از گسترش برنامه باگ بونتی خود خبر داد، برنامه ای که در ابتدا برای یافتن اشکالات نرم افزاری در کدهایی که پلتفرم را تقویت می کند طراحی شده بود.
طبق گفته بیشوف، بسیاری از پلتفرمها استفاده از خراشها را غیرقانونی اعلام کردهاند، حتی برای اطلاعاتی که در اختیار دارند و برای عموم قابل دسترسی است. دلیل آن این است که اطلاعات شناسایی شخصی (PII)، مانند نام کاربری، تاریخ تولد، آدرس ایمیل و مکان، اغلب توسط بازیگران بد برای هدف قرار دادن کاربران در کمپینهای مهندسی اجتماعی پیچیده استفاده میشود.
برنامه پاداش اشکال به پر کردن شکاف های دفاعی فیس بوک در برابر خراش دادن و هشدار متا به پایگاه داده های خراشیده شده کمک می کند…
با این حال، بیشوف اضافه می کند که فیس بوک برای تمایز بین اسکرپرها و کاربران قانونی تلاش کرده است که در گذشته منجر به نشت داده های بزرگ شده است. او به طور خاص به افشاگری اشاره می کند که در مارس 2020 هنگامی که Comparitech با محقق امنیتی باب دیاچنکو همکاری کرد و پایگاه داده ای را کشف کرد که شامل شناسه های کاربر و شماره تلفن بیش از 300 میلیون کاربر فیس بوک بود.
اما خراش دادن کاملاً غیرقانونی نیست - در بهترین حالت در یک منطقه خاکستری فنی-قانونی وجود دارد زیرا کاربردهای قانونی نیز دارد.
"حتی اگر خراشیدن بر خلاف شرایط استفاده فیس بوک است، کاملاً غیرقانونی نیست. برخی از عملیات خراش دادن مخرب هستند، اما برخی دیگر آکادمیک یا ژورنالیستی هستند."
خواستار DOA
در اعلامیه خود مبنی بر گسترش برنامه جایزه اشکال، فیس بوک اشاره کرد که از زمان آغاز به کار، طرح جایزه باگ بیش از 800 جایزه اعطا کرده است که مجموعاً بیش از 2.3 میلیون دلار به محققان بیش از 46 کشور جهان می رسد. مقابله با «چالشهای جدید» مانند خراشیدن، گسترش طبیعی این برنامه بود.
حتی اگر خراشیدن خلاف شرایط استفاده فیس بوک است، کاملاً غیرقانونی نیست.
طبق گفته متا، برنامه توسعه یافته باگ بوونتی به محققان امنیت از دو جنبه پاداش می دهد.
یک، به عنوان بخشی از استراتژی امنیتی بزرگتر خود برای سختتر کردن و «پرهزینهتر کردن» خراش دادن برای عوامل تهدید، گزارشهایی درباره اشکالات موجود در پلتفرم خود که بازیگران بد میتوانند برای دور زدن موانعی که برای جلوگیری از خراش ایجاد میکند، مورد سوء استفاده قرار دهند، اعطا میکند..
ثانیاً، این پلتفرم گفت که به شکارچیان جایزه داده نیز جایزه می دهد که در مورد پایگاه های داده محافظت نشده موجود آنلاین که حاوی PII خراشیده شده حداقل 100000 کاربر منحصر به فرد فیس بوک هستند به آن اطلاع دهند.
اگر تأیید کنیم که PII کاربر خراشیده شده است و اکنون به صورت آنلاین در یک سایت غیر متا در دسترس است، اقدامات مناسب را انجام خواهیم داد، که ممکن است شامل کار با نهاد مربوطه برای حذف مجموعه داده یا جستجوی راه های قانونی باشد. متا در این اطلاعیه خاطرنشان کرد تا اطمینان حاصل شود که مشکل برطرف شده است.
اضافه کرد که اگر خراش به دلیل پیکربندی نادرست در برنامه یک توسعه دهنده خارجی باشد، پلتفرم با توسعه دهنده کار می کند تا نشت را مسدود کند. از سوی دیگر، تلاش خواهد کرد تا اطمینان حاصل کند که سرویس میزبانی که هکرها پایگاه داده خراشیده شده را در آن قرار داده اند، آن را از بین می برد.
جوایز برای جوایز خراش دادن از 500 دلار شروع می شود، و در حالی که اشکالات خراش دادن مستلزم پرداخت پولی است، اطلاعات مربوط به پایگاه های داده خراشیده شده در قالب کمک های خیریه به سازمان های غیرانتفاعی به انتخاب خبرنگاران اهدا می شود.
"با بهترین دانش ما، این اولین برنامه جایزه خراش باگ در صنعت است" متا خلاصه کرد. "ما قبل از اینکه دامنه را به مخاطبان بیشتری گسترش دهیم، برای پاسخگویی به بازخوردهای شکارچیان برتر خود تلاش خواهیم کرد."