Key takeaways
- Meta har utökat sitt bug-bounty-program för att stärka sin plattform och användare mot dataskrapor.
- Dataskrapning har lett till att hackare har samlat information om över 300 miljoner användare tidigare.
-
Meta hävdar att det är den första som belönar forskare för deras hjälp att regera i dataskrapning.
Skulle det förvåna dig att veta att automatiserade program sveper sociala medieplattformar som Facebook för att samla in all offentligt tillgänglig information och samla in dem i databaser? Enskilda informationsbitar kanske inte är till så stor nytta, men tillsammans kan de göra det möjligt för hackare att begå alla typer av digitala brott, såsom identitetsstölder och nätfiskeattacker. Och Meta har fått nog av det.
Medan det sociala nätverket självt vidtar åtgärder för att fånga upp och begränsa dessa automatiserade program som kallas skrapor, har plattformen nu beslutat att ta hjälp av oberoende säkerhetsforskare genom att utöka sina bug-bounty-program. Dess mål är att inte bara fixa de buggar som läcker sådana detaljer om sina användare utan också att hjälpa till att hitta sådana databaser som innehåller skrapad information.
"Bugbounty-programmet kommer att hjälpa till att fylla luckorna i Facebooks försvar mot skrapning och varna Meta för skrapade databaser som dyker upp på webben", sa Paul Bischoff, integritetsförespråkare och redaktör för Infosecs forskningsoutput Comparitech, till Lifewire via e-post.
The Scraping Menace
Meta hänvisade till skrapning som en "internetomfattande utmaning" när det tillkännagav expansionen av sitt bug-bounty-program, som ursprungligen utformades för att hitta mjukvarufel i koden som driver plattformen.
Enligt Bischoff har många plattformar förbjudit användningen av skrapor, även för den information de har som är allmänt tillgänglig. Det beror på att personligt identifierbar information (PII), som användarnamn, födelsedatum, e-postadresser och plats, ofta används av dåliga aktörer för att rikta in sig på användare i utarbetade sociala ingenjörskampanjer.
Bugbounty-programmet kommer att hjälpa till att fylla luckorna i Facebooks försvar mot skrapning och varna Meta om skrapade databaser…
Bischoff tillägger dock att Facebook har kämpat för att skilja mellan skrapor och legitima användare, vilket har resulterat i enorma dataläckor tidigare. Han pekar specifikt på läckan som dök upp i mars 2020 när Comparitech slog sig ihop med säkerhetsforskaren Bob Diachenko och upptäckte en databas som innehöll användar-ID:n och telefonnummer till över 300 miljoner Facebook-användare.
Men skrapning är inte direkt olagligt - i bästa fall existerar det i en tekno-juridisk gråzon eftersom den också har legitim användning.
"Även om skrapning strider mot Facebooks användarvillkor är det inte strikt olagligt. Vissa skrapningsoperationer är skadliga, men andra är akademiska eller journalistiska", förtydligade Bischoff.
Vill ha DOA
I sitt tillkännagivande om utvidgningen av bug-bounty-programmet nämnde Facebook att sedan starten har bug-bounty-initiativet delat ut över 800 bountys, tot alt över $2,3 miljoner till forskare från mer än 46 länder. Att tackla "nya utmaningar" som att skrapa var en naturlig förlängning av programmet.
Även om skrapning strider mot Facebooks användarvillkor är det inte strikt olagligt.
Enligt Meta kommer det utökade bug-bounty-programmet att belöna säkerhetsforskare på två fronter.
Ett, som en del av sin större säkerhetsstrategi för att göra skrapning svårare och "dyrare" för hotaktörer, kommer Meta att belöna rapporter om buggar i sin plattform som dåliga aktörer kan utnyttja för att kringgå de barriärer som den har satts upp för att avskräcka skrapning.
För det andra sa plattformen att den också kommer att tilldela prisjägare som informerar den om oskyddade databaser tillgängliga online som innehåller den skrapade PII från minst 100 000 unika Facebook-användare.
"Om vi bekräftar att användarens PII har skrapats och nu är tillgänglig online på en icke-meta-webbplats, kommer vi att arbeta för att vidta lämpliga åtgärder, vilket kan inkludera att arbeta med den relevanta enheten för att ta bort datamängden eller söka juridiska medel för att säkerställa att problemet åtgärdas", noterade Meta i tillkännagivandet.
Den lade till att om skrapningen berodde på en felaktig konfiguration i applikationen av en extern utvecklare, skulle plattformen samarbeta med utvecklaren för att täppa till läckan. Å andra sidan kommer det också att göra ansträngningar för att säkerställa att värdtjänsten där hackarna har hyst den skrapade databasen tar ner den.
Belöningarna för skrapningspengarna börjar på 500 $, och medan skrapfelen innebär monetära utbetalningar kommer information om skrapade databaser att delas ut i form av donationer till välgörenhet till ideella organisationer som reportrarna väljer.
"Såvitt vi vet är detta det första programmet för skrapa buggar i branschen", sammanfattade Meta. "Vi kommer att arbeta för att ta emot feedback från våra bästa prisjägare innan vi utökar omfattningen till en större publik."
