Facebook Bug Bounty กำหนดเป้าหมายแฮกเกอร์ที่ขูดข้อมูลผู้ใช้

December 18, 2021
ในเมต้า เทค Facebook

click fraud protection

เมต้า ได้ประกาศว่าจะให้รางวัลแก่ผู้ที่รายงานการขโมยข้อมูลผู้ใช้ Facebook ที่ถูกแอบอ้างโดยผู้ไม่หวังดี บริษัทยังจะให้รางวัลแก่การค้นพบจุดบกพร่องที่นำไปสู่การขูดข้อมูลในตอนแรก ซึ่งเป็นเรื่องธรรมดาทั่วไป การขูดข้อมูลค่อนข้างรุนแรง และข้อมูลผู้ใช้ที่รวบรวมโดยบุคคลที่ประสงค์ร้ายโดยเพียงแค่เรียกใช้สคริปต์เว็บหรือสร้างแอปที่ถูกบุกรุกสามารถเรียกราคาสูงในตลาดมืดได้

ชุดข้อมูลที่คัดลอกมา ซึ่งสามารถรวมอะไรก็ได้ตั้งแต่ชื่อและหมายเลขโทรศัพท์ ไปจนถึงที่อยู่อีเมลและรายละเอียดทางการเงิน สามารถใช้สำหรับการโฆษณาตามเป้าหมาย การกรรโชก และความเจ็บป่วยอื่นๆ อีกมากมาย ในปี 2564 เพียงปีเดียว Facebook และ LinkedIn ต่างก็เปิดเผยข้อมูล การโจรกรรมที่ส่งผลกระทบต่อผู้ใช้กว่าครึ่งพันล้านคน ในแต่ละแพลตฟอร์ม ปรากฏว่า Facebook ต้องการแก้ปัญหาข้อมูลขูดหัวให้หายขาดด้วยการห้อยรางวัล

เมต้า พูดว่า โปรแกรมหาบั๊กของมันจะครอบคลุมรายงานที่ตรวจสอบได้ของการขูดข้อมูลที่เกี่ยวข้องอย่างน้อย 100,000 รายการ บันทึกผู้ใช้เฟสบุ๊ค. อย่างไรก็ตาม ข้อมูลที่คัดลอกมาต้องมีข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้ (PII) เช่น email ที่อยู่ หมายเลขโทรศัพท์เคลื่อนที่ ที่อยู่อาศัย ความโน้มเอียงทางศาสนา และความเกี่ยวข้องทางการเมือง ท่ามกลางคนอื่น ๆ. นอกจากนี้ ข้อมูลที่คัดลอกมาจะต้องพร้อมใช้งานออนไลน์หรือบนเว็บไซต์ที่ไม่ได้เป็นเจ้าของโดย Meta ซึ่งเป็นบริษัทแม่ที่เปลี่ยนชื่อใหม่ของ Facebook สำหรับเงินรางวัลนั้น Facebook กล่าวว่าจะมอบรางวัลขั้นต่ำ $500 สำหรับแต่ละจุดบกพร่องหรือชุดข้อมูลที่รายงาน

การรั่วไหลต้องหยุดอย่างใด

เท่าที่เกี่ยวข้องกับข้อมูลที่คัดลอกมา ชุดข้อมูลอาจถูกดึงผ่านแหล่งต่างๆ ในบางกรณี ข้อมูลผู้ใช้จำนวนมหาศาลจะถูกเก็บรวบรวม หากมีข้อบกพร่องในการกำหนดค่าด้วย API แอปพลิเคชันของบุคคลที่สาม ในกรณีดังกล่าว, Facebook จะรีบติดต่อกลับไป กับนักพัฒนาเพื่ออุดรอยรั่ว ในสถานการณ์ที่ข้อมูลที่คัดลอกมาถูกโฮสต์ไว้ที่อื่น Facebook จะขอให้แพลตฟอร์มการแชร์ไฟล์หรือที่เก็บข้อมูลบนคลาวด์ที่เกี่ยวข้อง t0 ทำแบบออฟไลน์ทั้งหมด บัคเก็ต S3 ที่กำหนดค่าไม่ถูกต้องบน Amazon Web Services ส่งผลให้เกิดการรั่วไหลของข้อมูลร้ายแรงใน 2o21 จนถึงตอนนี้ การรั่วไหลในถัง S3 ของแบรนด์ความงามของตุรกี Cosmolog Kozmetik เปิดเผยข้อมูลของผู้ใช้เกือบครึ่งล้านต่อ ความปลอดภัยของข้อมูล. อย่างไรก็ตาม มีข้อแม้ในการให้ราคา

สำหรับรายงานชุดข้อมูลที่คัดลอกมา เมต้า กล่าวว่าจะให้รางวัลแก่พวกเขาในรูปแบบของการบริจาคเพื่อการกุศลให้กับองค์กรไม่แสวงหาผลกำไรที่ได้รับการคัดเลือกโดยนักวิจัยที่อยู่เบื้องหลังการค้นพบนี้ Facebook กล่าวว่ากำลังดำเนินการเพื่อให้แน่ใจว่าจะไม่สนับสนุนการโจมตีแบบขูดขีด อย่างไรก็ตาม หากผู้เชี่ยวชาญด้านความปลอดภัยในโลกไซเบอร์พบจุดบกพร่องในการขูด ความพยายามจะได้รับรางวัลเป็นเช็คเงินเดือน เช่นเดียวกับการค้นพบช่องโหว่ในระบบ Facebook อื่นๆ ต้องสังเกตที่นี่ว่าเงินรางวัลในการขูดข้อมูลที่อธิบายไว้ข้างต้นครอบคลุมเฉพาะ Facebook และไม่ใช่แพลตฟอร์มในเครือรวมถึง Instagram หรือ WhatsApp Instagram ไม่ได้ป้องกันการรั่วไหลของข้อมูลอย่างแน่นอน และด้วย ผู้ใช้ที่ถูกกล่าวหา 2 พันล้านราย ภายใต้เข็มขัดของมัน ความเสี่ยงนั้นสูงกว่าที่เคย

ที่มา: เมต้า, ความปลอดภัยของข้อมูล

คู่หมั้น 90 วัน: แคสเซียกล่าวหานิโคลว่าใช้ความตายของเจสันเพื่อเงิน

เกี่ยวกับผู้เขียน