Facebook Bug Bounty cilja na hekerje, ki posnamejo uporabniške podatke

Meta je napovedal, da bo nagradil ljudi, ki prijavijo krajo uporabniških podatkov Facebooka, ki so jih na skrivaj pobrali slabi akterji. Podjetje bo nagradilo tudi odkritje hroščev, ki v prvi vrsti vodijo do strganja podatkov, kar je dokaj običajna stvar. Strganje podatkov je precej razširjeno in podatki o uporabnikih, ki jih zlonamerne osebe zberejo s preprostim izvajanjem spletnega skripta ali zasaditvijo ogrožene aplikacije, lahko dosegajo visoko ceno na črnem trgu.

Postrgan nabor podatkov, ki lahko vključuje vse od imen in telefonskih številk do e-poštnih naslovov in finančnih podrobnosti, se lahko uporablja za ciljno oglaševanje, izsiljevanje in številne druge težave. Samo v letu 2021 sta Facebook in LinkedIn razkrila podatke kraje, ki je prizadela več kot pol milijarde uporabnikov na vsaki platformi. Zdi se, da želi Facebook težavo s strganjem podatkov za vedno rešiti z obešanjem nagrade.

Meta pravi njegov program bounty bug bounty bo zdaj zajemal tudi preverljiva poročila o strganju podatkov, ki vključuje vsaj 100.000 edinstvenih

Zapisi uporabnikov Facebooka. Vendar pa morajo postrgani podatki vključevati podatke, ki omogočajo osebno prepoznavo (PII), kot je e-pošta naslove, mobilne številke, naslove prebivališča, versko nagnjenost in politično pripadnost med ostalimi. Poleg tega morajo biti postrgani podatki na voljo na spletu ali na spletnem mestu, ki ni v lasti Meta, Facebookove novo preimenovane matične družbe. Kar zadeva nagrado, Facebook pravi, da bo podelil minimalno nagrado v višini 500 $ za vsako prijavljeno napako pri strganju ali nabor podatkov.

Puščanje se mora nekako ustaviti

Kar zadeva postrgane podatke, bi bil nabor podatkov lahko izvlečen iz različnih virov. V nekaterih primerih se zbere ogromna količina uporabniških podatkov, če obstajajo konfiguracijske pomanjkljivosti z API-ji aplikacij tretjih oseb. v takih primerih, Facebook bo nemudoma stopil v stik z razvijalci, da zamašijo puščanje. V primerih, ko se postrgani podatki gostijo drugje, bo Facebook od ustrezne platforme za skupno rabo datotek ali za shranjevanje v oblaku zahteval, naj vse odstrani brez povezave. Napačno konfigurirana vedra S3 na spletnih storitvah Amazon so že povzročila resno uhajanje podatkov v 2o21 do zdaj. Puščanje v vedro S3 turške lepotne znamke Cosmolog Kozmetik je razkrilo podatke skoraj pol milijona uporabnikov, na InfoSecurity. Vendar pa obstaja opozorilo, ko gre za izdajo cene.

Za poročila o postrganih nizih podatkov, Meta pravi, da jih bo nagradil v obliki dobrodelnih donacij neprofitnim organizacijam, ki jih je izbral raziskovalec, ki stoji za odkritjem. Facebook pravi, da se trudi zagotoviti, da ne bo na koncu spodbujal napadov s strganjem. Če pa strokovnjak za kibernetsko varnost opazi napako pri strganju, bo trud poplačan s plačo, kot je to v primeru odkrivanja ranljivosti v drugih sistemih Facebooka. Tukaj je treba opozoriti, da zgoraj opisana nagrada za strganje podatkov zajema samo Facebook in ne sestrskih platform, vključno z Instagramom ali WhatsApp. Instagram ni ravno imun na uhajanje podatkov in s domnevno 2 milijardi uporabnikov pod njenim pasom so tveganja večja kot kdaj koli prej.

Viri: Meta, InfoSecurity

90-dnevni zaročenec: Cassia obtožuje Nicole, da je Jasonovo smrt uporabila za denar

O avtorju