Meta, anteriormente Facebook, está adicionando ataques de raspagem ao seu programa de recompensa por bug, de acordo com um comunicado que a empresa fez. Raspar é um problema com o qual o Facebook tem lutado no passado. Por causa disso, duas áreas de pesquisa para seus programas Bug Bounty e Data Bounty estão agora disponíveis: scraping bugs e scraped bancos de dados.
Programa Meta Bug Bouty adiciona ataques de raspagem
Até agora em 2021, Facebook, ou o programa de recompensa por bug da Meta concedeu mais de $2.3 milhões para pesquisadores por 25,000 relatórios no total. “Como scraping continua a ser um desafio para toda a Internet, estamos entusiasmados em abrir essas novas áreas de pesquisa para nossa comunidade de recompensa de bug,” disse a empresa.
Nenhum site ou serviço online está protegido contra raspagem, e essa tática é constantemente aprimorada para evitar a detecção em resposta aos mecanismos de segurança integrados. “Como parte de nossa estratégia de segurança mais ampla para tornar a raspagem mais difícil e cara para os invasores, hoje estamos começando a recompensar relatórios válidos de scraping bugs em nossa plataforma,”Meta adicionada. Esta parece ser a primeira iniciativa de recompensa por bug de raspagem.
O programa também cobrirá bancos de dados extraídos que os pesquisadores descobrem online. Relatórios para a descoberta de bancos de dados desprotegidos ou públicos que contenham pelo menos 100,000 registros de usuários exclusivos do Facebook com PII ou dados confidenciais serão concedidos. Também deve ser observado que os bancos de dados relatados devem ser exclusivos e não relatados anteriormente para Meta.
“Se confirmarmos que as PII do usuário foram copiadas e agora estão disponíveis online em um site não-Meta, vamos trabalhar para tomar as medidas adequadas, que pode incluir trabalhar com a entidade relevante para remover o conjunto de dados ou buscar meios legais para ajudar a garantir que o problema seja tratado,”Meta explicou.
Caso o conjunto de dados seja resultado de um aplicativo de terceiros mal configurado, a empresa trabalhará com o desenvolvedor para resolver o problema. alternativamente, se o conjunto de dados é exposto em um serviço de hospedagem, a empresa trabalhará com o fornecedor para colocar o conjunto de dados offline.
Os prêmios serão questões baseadas no impacto máximo, com uma recompensa mínima de $500 por cada bug de scraping ou banco de dados.
Violações de dados do Facebook
Em abril deste ano, pesquisadores de segurança relataram uma grande violação de dados expondo os números de telefone e detalhes pessoais de milhões de usuários do Facebook. Os dados expostos consistiam em detalhes pessoais de mais de 533 milhões de usuários do Facebook de 106 países, Incluindo 32 milhões de registros de usuários dos EUA, 11 milhões de registros de usuários do Reino Unido, e 6 milhões de registros de usuários indianos.
A violação de dados foi possível devido a uma vulnerabilidade abordada pelo Facebook em 2019. Apesar de ter dois anos, os detalhes vazados do Facebook podem ser explorados por hackers em vários cenários. Os usuários afetados podem ser falsificados e fraudados.
Vale ressaltar também que em outubro 2020, O Facebook lançou um programa de fidelidade exclusivo chamado Hacker Plus por sua plataforma bug bounty. Na época em que foi lançado, o programa de fidelidade foi o primeiro desse tipo para um gigante da tecnologia. Programas de fidelidade semelhantes foram lançados por companhias aéreas e hotéis. O objetivo do Hacker Plus é fornecer bônus e vantagens adicionais para caçadores de recompensas e pesquisadores de segurança com base em seus relatórios.