Mga Key Takeaway
- Pinalawak ng Meta ang bug bounty program nito upang palakasin ang platform at mga user nito laban sa mga scraper ng data.
- Ang pag-scrape ng data ay humantong sa pagkalap ng mga hacker ng impormasyon ng mahigit 300 milyong user sa nakaraan.
-
Inaaangkin ng Meta na ito ang unang nagbibigay ng gantimpala sa mga mananaliksik para sa kanilang tulong na maghari sa pag-scrape ng data.
Magugulat ka bang malaman na ang mga automated na programa ay nagwawalis sa mga platform ng social media tulad ng Facebook upang kunin ang anumang impormasyong naa-access ng publiko at i-collate ang mga ito sa loob ng mga database? Maaaring hindi gaanong magamit ang mga indibidwal na piraso ng impormasyon, ngunit kung magkakasama ay mapapagana ng mga hacker ang lahat ng uri ng mga digital na krimen, gaya ng mga pagnanakaw ng kredensyal at pag-atake ng phishing. At sapat na ang Meta dito.
Habang ang social network mismo ay gumagawa ng mga hakbang upang mahuli at mabawasan ang mga automated na programang ito na tinatawag na mga scraper, nagpasya na ngayon ang platform na humingi ng tulong sa mga independiyenteng mananaliksik ng seguridad sa pamamagitan ng pagpapalawak ng mga programa ng bug bounty nito. Ang layunin nito ay hindi lamang ayusin ang mga bug na naglalabas ng mga naturang detalye tungkol sa mga user nito ngunit tumulong din sa paghahanap ng mga ganoong database na naglalaman ng nasimot na impormasyon.
"Ang programa ng bug bounty ay makakatulong na punan ang mga puwang sa mga depensa ng Facebook laban sa pag-scrap at alerto sa Meta sa mga nasimot na database na lumalabas sa web," Paul Bischoff, privacy advocate at editor ng Infosec research outlet na Comparitech, sinabi sa Lifewire sa pamamagitan ng email.
The Scraping Penace
Tinukoy ng Meta ang pag-scrape bilang isang "hamon sa buong internet" habang inanunsyo nito ang pagpapalawak ng program nitong bug bounty, na unang idinisenyo upang makahanap ng mga error sa software sa code na nagpapagana sa platform.
Ayon kay Bischoff, ipinagbawal ng maraming platform ang paggamit ng mga scraper, kahit na para sa impormasyong hawak nila na naa-access ng publiko. Iyon ay dahil ang personally identifiable information (PII), gaya ng mga username, petsa ng kapanganakan, email address, at lokasyon, ay kadalasang ginagamit ng mga masasamang aktor upang i-target ang mga user sa mga detalyadong social engineering campaign.
Ang bug bounty program ay makakatulong na punan ang mga puwang sa mga depensa ng Facebook laban sa pag-scrap at alerto sa Meta sa mga nasimot na database…
Gayunpaman, idinagdag ni Bischoff na nahirapan ang Facebook na makilala ang pagitan ng mga scraper at mga lehitimong user, na nagresulta sa malalaking pagtagas ng data sa nakaraan. Partikular niyang itinuro ang leak na lumabas noong Marso 2020 nang makipagtulungan ang Comparitech sa security researcher na si Bob Diachenko, at natuklasan ang isang database na naglalaman ng mga user ID at numero ng telepono ng mahigit 300 milyong user ng Facebook.
Ngunit ang pag-scrape ay hindi tahasang ilegal-sa pinakamainam na umiiral ito sa isang techno-legal gray na lugar dahil mayroon din itong mga lehitimong gamit.
"Kahit na ang pag-scrape ay labag sa mga tuntunin ng paggamit ng Facebook, hindi ito mahigpit na labag sa batas. Ang ilang mga operasyon sa pag-scrape ay nakakahamak, ngunit ang iba ay akademiko, o peryodista, " paglilinaw ni Bischoff.
Wanted DOA
Sa pag-anunsyo nito ng pagpapalawak ng bug bounty program, binanggit ng Facebook na mula nang mabuo ito, ang bug bounty initiative ay nagbigay ng higit sa 800 bounty, na may kabuuang mahigit $2.3 milyon sa mga mananaliksik mula sa higit sa 46 na bansa. Ang pagharap sa "mga bagong hamon" tulad ng pag-scrape ay natural na extension ng programa.
Kahit na ang pag-scrap ay labag sa mga tuntunin ng paggamit ng Facebook, hindi ito mahigpit na labag sa batas.
Ayon sa Meta, ang pinalawak na bug bounty program ay magbibigay ng gantimpala sa mga mananaliksik ng seguridad sa dalawang larangan.
One, bilang bahagi ng mas malaking diskarte sa seguridad nito upang gawing mas mahirap ang pag-scrape at "mas magastos" para sa mga aktor ng pagbabanta, maggagawad ang Meta ng mga ulat tungkol sa mga bug sa platform nito na maaaring pagsamantalahan ng mga masasamang aktor upang malampasan ang mga hadlang na itinayo nito upang pigilan ang pag-scrape.
Pangalawa, sinabi ng platform na maggagawad din ito ng mga data bounty hunters na ipaalam dito ang tungkol sa mga hindi protektadong database na available online na naglalaman ng na-scrap na PII ng hindi bababa sa 100, 000 natatanging user ng Facebook.
"Kung kinumpirma namin na ang user PII ay na-scrap at available na ngayon online sa isang non-Meta site, magsusumikap kaming magsagawa ng mga naaangkop na hakbang, na maaaring kasama ang pakikipagtulungan sa nauugnay na entity upang alisin ang dataset o paghahanap ng mga legal na paraan upang makatulong na matiyak na ang isyu ay natugunan, " Meta na nabanggit sa anunsyo.
Idinagdag nito na kung ang pag-scrape ay dahil sa isang maling configuration sa application ng isang external na developer, makikipagtulungan ang platform sa developer para i-plug ang leak. Sa kabilang banda, magsisikap din itong matiyak na ang serbisyo sa pagho-host kung saan inilagay ng mga hacker ang nasimot na database ay aalisin ito.
Ang mga reward para sa mga scraping bounty ay nagsisimula sa $500, at habang ang mga scraping bug ay nangangailangan ng mga monetary payout, ang impormasyon tungkol sa mga nasimot na database ay igagawad sa anyo ng mga donasyong charity sa mga nonprofit na organisasyon na pipiliin ng mga reporter.
"Sa abot ng aming kaalaman, ito ang kauna-unahang scraping bug bounty program sa industriya," buod ng Meta. "Magsisikap kaming tugunan ang feedback mula sa aming nangungunang mga mangangaso ng bounty bago palawakin ang saklaw sa mas malawak na audience."
