Meta, früher Facebook, fügt seinem Bug-Bounty-Programm Scraping-Angriffe hinzu, laut einer Aussage des Unternehmens. Scraping ist ein Problem, mit dem Facebook in der Vergangenheit zu kämpfen hatte. Deswegen, zwei Forschungsbereiche für seine Bug-Bounty- und Data-Bounty-Programme sind jetzt verfügbar: Scraping Bugs und Scraped Datenbanken.
Meta Bug Bouty-Programm fügt Scraping-Angriffe hinzu
Bisher in 2021, Facebook, oder das Bug-Bounty-Programm von Meta hat mehr als vergeben $2.3 Millionen an Forscher für 25,000 Berichte insgesamt. „Da Scraping weiterhin eine internetweite Herausforderung ist, Wir freuen uns, diese neuen Forschungsbereiche für unsere Bug-Bounty-Community zu erschließen," teilte das Unternehmen.
Keine Website oder kein Online-Dienst ist vor dem Scraping sicher, und diese Taktik wird ständig verbessert, um eine Erkennung als Reaktion auf eingebaute Sicherheitsmechanismen zu vermeiden. „Als Teil unserer umfassenderen Sicherheitsstrategie, um das Scraping für die Angreifer schwieriger und kostspieliger zu machen, heute beginnen wir, gültige Berichte über das Scrapen von Fehlern in unserer Plattform zu belohnen,“Meta hinzugefügt. Dies scheint die erste Scraping-Bug-Bounty-Initiative zu sein.
Das Programm wird auch abgekratzte Datenbanken abdecken, die Forscher online entdecken. Berichte zum Auffinden ungeschützter oder öffentlich zugänglicher Datenbanken, die mindestens 100,000 Es werden einzigartige Facebook-Benutzerdatensätze mit PII oder sensiblen Daten vergeben. Es sollte auch beachtet werden, dass die gemeldeten Datenbanken eindeutig sein sollten und nicht zuvor an Meta gemeldet wurden.
„Wenn wir bestätigen, dass die PII des Benutzers abgekratzt wurde und jetzt online auf einer Nicht-Meta-Site verfügbar ist, Wir werden daran arbeiten, geeignete Maßnahmen zu ergreifen, Dies kann die Zusammenarbeit mit der zuständigen Stelle umfassen, um den Datensatz zu entfernen oder rechtliche Schritte einzuleiten, um sicherzustellen, dass das Problem behoben wird.,“Meta erklärt.
Falls der Datensatz das Ergebnis einer falsch konfigurierten Drittanbieteranwendung ist, Das Unternehmen wird mit dem Entwickler zusammenarbeiten, um das Problem zu lösen. Alternative, wenn der Datensatz auf einem Hosting-Dienst verfügbar gemacht wird, Das Unternehmen wird mit dem Anbieter zusammenarbeiten, um den Datensatz offline zu nehmen.
Die Auszeichnungen richten sich nach der maximalen Wirkung, mit einer Mindestprämie von $500 pro Scraping-Bug oder Datenbank.
Facebook-Datenverletzungen
Im April dieses Jahres, Sicherheitsforscher berichtet eine massive Datenpanne Offenlegung der Telefonnummern und persönlichen Daten von Millionen von Facebook-Nutzern. Die exponierten Daten bestanden aus personenbezogenen Daten von mehr als 533 Millionen Facebook-Nutzer aus 106 Ländern, Inklusive 32 Millionen Datensätze von US-Nutzern, 11 Millionen Datensätze von britischen Nutzern, und 6 Millionen Datensätze indischer Benutzer.
Der Datenverstoß war aufgrund einer von Facebook in adressierten Sicherheitslücke möglich 2019. Obwohl ich zwei Jahre alt bin, Die durchgesickerten Facebook-Details könnten von Hackern in verschiedenen Szenarien ausgenutzt werden. Betroffene Benutzer können sich als solche ausgeben und betrogen werden.
Bemerkenswert ist auch, dass im Oktober 2020, Facebook hat ein einzigartiges Treueprogramm gestartet genannt Hacker Plus für seine Bug-Bounty-Plattform. Damals, als es veröffentlicht wurde, das Treueprogramm war das erste seiner Art für einen Technologieriesen. Ähnliche Treueprogramme wurden von Fluggesellschaften und Hotels gestartet. Ziel von Hacker Plus ist es, Kopfgeldjägern und Sicherheitsforschern basierend auf ihren Berichten zusätzliche Boni und Vergünstigungen zu bieten.