Charlie Osborne är en cybersäkerhetsjournalist och fotograf som skriver för ZDNet och CNET från London. PGP-nyckel: AF40821B.
Fullständig biografi publicerad i Zero Day den 15 december 2021 | Ämne: Säkerhet
Meta har tillkännagett en expansion av sin bug bounty-plattform för att inkludera sårbarheter som kan missbrukas för dataskrapning.
I onsdags sa företaget – nyligen bytt namn från Facebook – att de två nya forskningsområdena kretsar kring att skrapa buggar och skrapa databaser som innehåller användarinformation.
Dan Gurfinkel, säkerhetsingenjörschef, sa att inkluderingen av giltiga skrapbuggar och exponerade datauppsättningar i ett program för buggstöd är, såvitt företaget vet, en “industri först.”
Meta/Facebook har varit inblandad i många incidenter kring skrapning av användardata. Den mest kända är Cambridge Analytica-skandalen, där data från upp till 87 miljoner användare skrapades och delades utan deras samtycke.
Nuligen dumpades information som tillhörde cirka 553 miljoner Facebook-användare online. Meta sa att massdatainsamlingen ägde rum 2019.
“Vi vet att automatiserad aktivitet utformad för att skrapa folks offentliga och privata data riktar sig till varje webbplats eller tjänst”, säger Gurfinkel. “Vi vet också att det är ett mycket kontradiktoriskt utrymme där skrapor – oavsett om det är skadliga appar, webbplatser eller skript – ständigt anpassar sin taktik för att undvika upptäckt som svar på de försvar vi bygger och förbättrar.”
För att hjälpa företaget att snabbt åtgärda problem med dataskrapning i sina appar och tjänster, letar Meta efter rapporter om sårbarheter som gör att mekanismer för skrapningsgränser kan kringgås och de som tillåter skrapning “i större skala än vad produkten är avsedd för.” Speciellt uppmanar Meta forskare att leta efter problem med logiska förbikopplingar, även om hastighetsbegränsande fel också är inom räckvidden.
Uppskrapade databaser kommer att innehålla rapporter om oskyddade och öppna offentliga databaser, upptäckta online, som innehåller minst 100 000 register över unika användare, såväl som känslig information som e-postadresser och telefonnummer.
Finansiella belöningar från $500 erbjuds för att skrapa buggar och skrapade databasrapporter kommer att matchas med donationer till välgörenhet. Feedback kommer att begäras från företagets “bästa” buggprisjägare innan expansion.
Gurfinkel beskrev också företagets framsteg med bugg-premier. Sedan 2011, programmets lansering, har över 150 000 felrapporter tagits emot och över 7 800 har tilldelats en prisutbetalning. Totalt har Meta nu betalat ut över 14 miljoner dollar.
Under loppet av 2021 har Meta delat ut 2,3 miljoner dollar till forskare för 800 sårbarhetsrapporter av cirka 25 000.
Tidigare denna månad utökade Meta omfattningen av Facebook Protect, en tjänst utformad för att förbättra säkerheten för användarkonton som anses löpa högre risk för kompromisser av hotaktörer.
I slutet av detta år bör Facebook Protect rullas ut till över 50 länder. På samma sätt som Google och Microsoft erbjuder Meta denna tjänst till individer inklusive advokater, journalister, medlemmar av medborgarrättsorganisationer och politiska personer.
Tidigare och relaterad bevakning
Meta stämde över 150 miljarder dollar för sin roll i folkmordet på Rohingya
Hur Meta kunde förstöra metaversen
Meta expanderande Facebook-säkerhetsprogram för regeringstjänstemän, journalister, aktivister
Har du ett tips? Ta kontakt säkert via WhatsApp | Signalera på +447713 025 499, eller över på Keybase: charlie0
Säkerhets-TV | Datahantering | CXO | Datacenter