Το Facebook Bug Bounty στοχεύει χάκερ που σκουπίζουν δεδομένα χρήστη

Μετα έχει ανακοινώσει ότι θα ανταμείψει όσους αναφέρουν την κλοπή των δεδομένων των χρηστών του Facebook που έχουν κοπεί κρυφά από κακούς ηθοποιούς. Η εταιρεία θα ανταμείψει επίσης την ανακάλυψη σφαλμάτων που οδηγούν σε απόξεση δεδομένων στην πρώτη θέση, κάτι που είναι αρκετά συνηθισμένο. Η απόξεση δεδομένων είναι αρκετά ανεξέλεγκτη και οι πληροφορίες χρήστη που συλλέγονται από κακόβουλα μέρη με απλή εκτέλεση ενός σεναρίου ιστού ή με τη δημιουργία μιας παραβιασμένης εφαρμογής μπορούν να φέρουν υψηλή τιμή στη μαύρη αγορά.

Το αποκομμένο σύνολο δεδομένων, το οποίο μπορεί να περιλαμβάνει οτιδήποτε, από ονόματα και αριθμούς τηλεφώνου έως διευθύνσεις ηλεκτρονικού ταχυδρομείου και οικονομικές λεπτομέρειες, μπορεί να χρησιμοποιηθεί για στοχευμένες διαφημίσεις, εκβιασμούς και πολλά άλλα δεινά. Μόνο το 2021, το Facebook και το LinkedIn αποκάλυψαν δεδομένα κλοπή που επηρέασε πάνω από μισό δισεκατομμύριο χρήστες σε κάθε πλατφόρμα. Φαίνεται ότι το Facebook θέλει να λύσει οριστικά τον πονοκέφαλο απόρριψης δεδομένων με το να κρεμάσει μια ανταμοιβή.

Μετα λέει Το πρόγραμμα επιβράβευσης σφαλμάτων θα καλύπτει τώρα επίσης επαληθεύσιμες αναφορές απόξεσης δεδομένων που περιλαμβάνει τουλάχιστον 100.000 μοναδικές Εγγραφές χρηστών του Facebook. Ωστόσο, τα αποκομμένα δεδομένα πρέπει να περιλαμβάνουν Προσωπικά Αναγνωρίσιμα Στοιχεία (PII), όπως email διευθύνσεις, αριθμούς κινητών τηλεφώνων, διευθύνσεις κατοικίας, θρησκευτικές κλίσεις και πολιτικές πεποιθήσεις μεταξύ άλλων. Επιπλέον, τα αποκομμένα δεδομένα πρέπει να είναι διαθέσιμα στο διαδίκτυο ή σε ιστότοπο που δεν ανήκει στη Meta, τη νέα μητρική εταιρεία του Facebook που μετονομάστηκε πρόσφατα. Όσον αφορά το bounty, το Facebook λέει ότι θα χορηγήσει μια ελάχιστη ανταμοιβή 500 $ για κάθε σφάλμα απόξεσης ή σύνολο δεδομένων που αναφέρεται.

Οι διαρροές πρέπει να σταματήσουν κάπως

Όσον αφορά τα δεδομένα απόξεσης, το σύνολο δεδομένων θα μπορούσε να έχει εξαχθεί μέσω διαφορετικών πηγών. Σε ορισμένες περιπτώσεις, ένας τεράστιος όγκος δεδομένων χρήστη συλλέγεται εάν υπάρχουν ελαττώματα διαμόρφωσης με API εφαρμογών τρίτων. Σε τέτοιες περιπτώσεις, Το Facebook θα επικοινωνήσει αμέσως με προγραμματιστές για να καλύψει τη διαρροή. Σε σενάρια όπου τα αποκομμένα δεδομένα φιλοξενούνται αλλού, το Facebook θα ζητήσει από την αντίστοιχη πλατφόρμα κοινής χρήσης αρχείων ή αποθήκευσης cloud t0 να τα φέρει όλα εκτός σύνδεσης. Οι λανθασμένοι κάδοι S3 στις Υπηρεσίες Ιστού της Amazon έχουν ήδη οδηγήσει σε σοβαρές διαρροές δεδομένων στο 2o21 μέχρι στιγμής. Μια διαρροή στον κάδο S3 της τουρκικής μάρκας ομορφιάς Cosmolog Kozmetik εξέθεσε τα δεδομένα σχεδόν μισού εκατομμυρίου χρηστών, ανά InfoSecurity. Ωστόσο, υπάρχει μια προειδοποίηση όταν πρόκειται να δώσουμε την τιμή.

Για αναφορές αποξεσμένων συνόλων δεδομένων, Μετα λέει ότι θα τους ανταμείψει με τη μορφή φιλανθρωπικών δωρεών σε μη κερδοσκοπικούς οργανισμούς που επιλέγονται από τον ερευνητή πίσω από την ανακάλυψη. Το Facebook λέει ότι κάνει για να διασφαλίσει ότι δεν θα καταλήξει να ενθαρρύνει επιθέσεις απόξεσης. Ωστόσο, εάν ένας ειδικός στον τομέα της κυβερνοασφάλειας εντοπίσει ένα σφάλμα απόξεσης, οι προσπάθειες θα ανταμειφθούν με ένα μισθό, όπως συμβαίνει με την ανακάλυψη τρωτών σημείων σε άλλα συστήματα του Facebook. Πρέπει να σημειωθεί εδώ ότι η επιβράβευση απόσυρσης δεδομένων που περιγράφεται παραπάνω καλύπτει μόνο το Facebook και όχι τις αδελφές πλατφόρμες, όπως το Instagram ή το WhatsApp. Το Instagram δεν είναι ακριβώς απρόσβλητο σε διαρροές δεδομένων και με υποτιθέμενοι 2 δισεκατομμύρια χρήστες υπό τη ζώνη της, οι κίνδυνοι είναι υψηλότεροι από ποτέ.

Πηγές: Μετα, InfoSecurity

Αρραβωνιαστικός 90 ημερών: Η Κάσια κατηγορεί τη Νικόλ ότι χρησιμοποίησε τον θάνατο του Τζέισον για χρήματα

Σχετικά με τον Συγγραφέα