Meta, tidligere Facebook, tilføjer skrabeangreb til sit bug bounty-program, ifølge en erklæring fra selskabet. Skrabning er et problem, som Facebook tidligere har kæmpet med. På grund af det, to forskningsområder for dets Bug Bounty- og Data Bounty-programmer er nu gjort tilgængelige: skrabefejl og skrabet databaser.
Meta Bug Bouty Program tilføjer skrabeangreb
Indtil videre i 2021, Facebook, eller Metas bug bounty-program har tildelt mere end $2.3 millioner til forskere for 25,000 rapporter i alt. "Da skrabning fortsat er en udfordring for hele internettet, vi er glade for at åbne disse nye forskningsområder for vores bug bounty-fællesskab," siger virksomheden.
Ingen hjemmeside eller onlinetjeneste er sikret mod skrabe, og denne taktik bliver konstant forbedret for at undgå opdagelse som svar på indbyggede sikkerhedsmekanismer. "Som en del af vores større sikkerhedsstrategi for at gøre skrabning sværere og dyrere for angriberne, i dag begynder vi at belønne gyldige rapporter om skrabefejl i vores platform,” tilføjede Meta. Dette ser ud til at være det første initiativ til at skrabe bugs.
Programmet vil også dække skrabet databaser, som forskere opdager online. Rapporter for opdagelse af ubeskyttede eller åbent offentlige databaser, der indeholder mindst 100,000 unikke Facebook-brugerposter med PII eller følsomme data vil blive tildelt. Det skal også bemærkes, at de rapporterede databaser skal være unikke og ikke tidligere rapporteret til Meta.
"Hvis vi bekræfter, at bruger-PII blev skrabet og nu er tilgængelig online på et ikke-Meta-websted, vi vil arbejde på at træffe passende foranstaltninger, hvilket kan omfatte samarbejde med den relevante enhed for at fjerne datasættet eller søge juridiske midler til at sikre, at problemet bliver løst,” forklarede Meta.
I tilfælde af at datasættet er et resultat af en forkert konfigureret tredjepartsapplikation, virksomheden vil arbejde sammen med udvikleren for at løse problemet. alternativt, hvis datasættet er eksponeret på en hostingtjeneste, virksomheden vil arbejde sammen med leverandøren om at tage datasættet offline.
Priser vil være spørgsmål baseret på den maksimale effekt, med en minimumsbelønning på $500 pr. hver skrabefejl eller database.
Facebooks databrud
I april i år, sikkerhedseksperter rapporteret et massivt databrud afsløre telefonnumre og personlige oplysninger om millioner af Facebook-brugere. De afslørede data bestod af personoplysninger på mere end 533 millioner Facebook-brugere fra 106 lande, Herunder 32 millioner optegnelser over amerikanske brugere, 11 millioner optegnelser over britiske brugere, og 6 millioner optegnelser over indiske brugere.
Databruddet var muligt på grund af en sårbarhed, der blev adresseret af Facebook i 2019. På trods af at være to år gammel, de lækkede Facebook-detaljer kunne udnyttes af hackere i forskellige scenarier. Berørte brugere kan blive efterlignet og snydt.
Det er også bemærkelsesværdigt, at i oktober 2020, Facebook lancerede et unikt loyalitetsprogram kaldet Hacker Plus for sin bug bounty platform. Dengang den blev udgivet, loyalitetsprogrammet var det første af sin slags for en teknologigigant. Lignende loyalitetsprogrammer er blevet lanceret af flyselskaber og hoteller. Hacker Plus's formål er at give yderligere bonusser og frynsegoder til bugpræster og sikkerhedsforskere baseret på deres rapporter.