Meta, anteriormente Facebook, está agregando ataques de raspado a su programa de recompensas de errores, según un comunicado que hizo la empresa. El raspado es un problema con el que Facebook ha estado luchando en el pasado. Debido a esto, dos áreas de investigación para sus programas Bug Bounty y Data Bounty ahora están disponibles: raspado de errores y bases de datos raspadas.
El programa Meta Bug Bouty agrega ataques de raspado
Hasta ahora, en 2021, Facebook, o el programa de recompensas por errores de Meta ha otorgado más de $2.3 millones a investigadores para 25,000 informes en total. "Dado que el scraping sigue siendo un desafío en Internet, estamos emocionados de abrir estas nuevas áreas de investigación para nuestra comunidad de recompensas de errores," la compañía dijo.
Ningún sitio web o servicio en línea está a salvo del raspado, y esta táctica se mejora constantemente para evadir la detección en respuesta a los mecanismos de seguridad incorporados. “Como parte de nuestra estrategia de seguridad más amplia para hacer que el rastreo sea más difícil y costoso para los atacantes, hoy comenzamos a recompensar los informes válidos de errores de rastreo en nuestra plataforma,"Meta añadido. Esta parece ser la primera iniciativa de recompensas por errores de raspado.
El programa también cubrirá bases de datos extraídas que los investigadores descubren en línea.. Informes para el descubrimiento de bases de datos desprotegidas o abiertamente públicas que contienen al menos 100,000 Se otorgarán registros de usuarios únicos de Facebook con PII o datos confidenciales.. También debe tenerse en cuenta que las bases de datos informadas deben ser únicas y no informadas previamente a Meta.
"Si confirmamos que la PII del usuario se eliminó y ahora está disponible en línea en un sitio que no pertenece a Meta, trabajaremos para tomar las medidas adecuadas, que puede incluir trabajar con la entidad relevante para eliminar el conjunto de datos o buscar medios legales para ayudar a garantizar que se aborde el problema,"Meta explicó.
En caso de que el conjunto de datos sea el resultado de una aplicación de terceros mal configurada, la empresa trabajará con el desarrollador para abordar el problema. Alternativamente, si el conjunto de datos está expuesto en un servicio de alojamiento, la empresa trabajará con el proveedor para desconectar el conjunto de datos.
Los premios serán temas basados en el impacto máximo, con una recompensa mínima de $500 por cada error de raspado o base de datos.
Violaciones de datos de Facebook
En abril de este año, los investigadores de seguridad informaron una violación masiva de datos exponer los números de teléfono y los datos personales de millones de usuarios de Facebook. Los datos expuestos consistían en datos personales de más de 533 millones de usuarios de Facebook de 106 países, Incluido 32 millones de registros de usuarios estadounidenses, 11 millones de registros de usuarios del Reino Unido, y 6 millones de registros de usuarios indios.
La violación de datos fue posible debido a una vulnerabilidad abordada por Facebook en 2019. A pesar de tener dos años, Los piratas informáticos podrían explotar los detalles de Facebook filtrados en varios escenarios.. Los usuarios afectados podrían ser suplantados y estafados.
También es de destacar que en octubre 2020, Facebook lanzó un programa de fidelización único llamado Hacker Plus por su plataforma de recompensas por errores. Cuando fue lanzado, el programa de fidelización fue el primero de su tipo para un gigante tecnológico. Las aerolíneas y los hoteles han lanzado programas de fidelización similares. El propósito de Hacker Plus es proporcionar bonificaciones y ventajas adicionales a los cazarrecompensas e investigadores de seguridad basados en sus informes..