Charlie Osborne er en cybersikkerhetsjournalist og fotograf som skriver for ZDNet og CNET fra London. PGP-nøkkel: AF40821B.
Full bio publisert i Zero Day 15. desember 2021 | Emne: Sikkerhet
Meta har annonsert en utvidelse av sin bug bounty-plattform for å inkludere sårbarheter som kan misbrukes til dataskraping.
Onsdag sa selskapet – nylig omdøpt fra Facebook – at de to nye forskningsområdene dreier seg om å skrape feil og skrapte databaser som inneholder brukerinformasjon.
Dan Gurfinkel, Security Engineering Manager, sa at inkludering av gyldige skrapefeil og eksponerte datasett i et bug-bounty-program er, så vidt firmaet kjenner til, en “industri først.”
Meta/Facebook har vært involvert i en rekke hendelser rundt skraping av brukerdata. Den mest kjente er Cambridge Analytica-skandalen, der data til opptil 87 millioner brukere ble skrapet og delt uten deres samtykke.
Senere ble informasjon som tilhører omtrent 553 millioner Facebook-brukere dumpet på nettet. Meta sa at massedatainnsamlingen fant sted i 2019.
“Vi vet at automatisert aktivitet designet for å skrape folks offentlige og private data retter seg mot hver nettside eller tjeneste,” sier Gurfinkel. «Vi vet også at det er et svært motstridende område der skrapere – det være seg ondsinnede apper, nettsteder eller skript – hele tiden tilpasser taktikken for å unngå oppdagelse som svar på forsvaret vi bygger og forbedrer.»
For å hjelpe selskapet med å fikse problemer med dataskraping på tvers av appene og tjenestene sine raskt, leter Meta etter rapporter om sårbarheter som gjør det mulig å omgå skrapinggrensemekanismer og de som tillater skraping «i større skala enn produktet var tiltenkt». Spesielt oppfordrer Meta forskere til å se etter problemer med logikkomkjøring, selv om hastighetsbegrensende feil også er innenfor omfanget.
Skrapte databaser vil inkludere rapporter om ubeskyttede og åpne offentlige databaser, oppdaget på nettet, som inneholder minst 100 000 registreringer av unike brukere, samt sensitiv informasjon som e-postadresser og telefonnumre.
Finansielle belønninger som starter på $500 tilbys for å skrape feil, og skrapte databaserapporter vil bli matchet med veldedige donasjoner. Tilbakemelding vil bli bedt om fra firmaets “topp” bug-premiejegere før utvidelse.
Gurfinkel skisserte også selskapets fremgang med bug-premier. Siden 2011, programmets lansering, har over 150 000 feilrapporter blitt mottatt og over 7 800 har blitt tildelt en dusørbetaling. Totalt har Meta nå betalt ut over 14 millioner dollar.
I løpet av 2021 har Meta tildelt 2,3 millioner dollar til forskere for 800 sårbarhetsrapporter av omtrent 25 000.
Tidligere denne måneden økte Meta omfanget av Facebook Protect, en tjeneste utviklet for å forbedre sikkerheten til brukerkontoer som anses å ha høyere risiko for kompromittering av trusselaktører.
Innen slutten av dette året skal Facebook Protect være rullet ut til over 50 land. På samme måte som Google og Microsoft tilbyr Meta denne tjenesten til enkeltpersoner, inkludert advokater, journalister, medlemmer av borgerrettighetsorganisasjoner og politiske skikkelser.
Tidligere og relatert dekning
Meta saksøkte over 150 milliarder dollar for sin rolle i Rohingya-folkemordet
Hvordan Meta kunne ødelegge metaversen
Meta-utvidende Facebook-sikkerhetsprogram for offentlige tjenestemenn, journalister, aktivister
Har du et tips? Ta kontakt sikkert via WhatsApp | Signal på +447713 025 499, eller over på Keybase: charlie0
Security TV | Databehandling | CXO | Datasentre