Folje kryesore
- Meta ka zgjeruar programin e saj të shpërblimit të gabimeve për të forcuar platformën dhe përdoruesit e saj kundër gërvishtjeve të të dhënave.
- Grupimi i të dhënave ka bërë që hakerët të grumbullojnë informacione për mbi 300 milionë përdorues në të kaluarën.
-
Meta pretendon se është i pari që shpërblen studiuesit për ndihmën e tyre për të mbretëruar në grumbullimin e të dhënave.
A do t'ju befasonte të dini se programet e automatizuara fshijnë platformat e mediave sociale si Facebook për të mbledhur çdo informacion të aksesueshëm publikisht dhe për t'i renditur ato brenda bazave të të dhënave? Pjesët individuale të informacionit mund të mos jenë shumë të dobishme, por së bashku ato mund t'u mundësojnë hakerëve të kryejnë të gjitha llojet e krimeve dixhitale, të tilla si vjedhjet e kredencialeve dhe sulmet e phishing. Dhe Metës i është mjaftuar.
Ndërsa vetë rrjeti social ndërmerr hapa për të kapur dhe kufizuar këto programe të automatizuara të quajtura scrapers, platforma tani ka vendosur të kërkojë ndihmën e studiuesve të pavarur të sigurisë duke zgjeruar programet e saj të bujarisë. Qëllimi i tij është që jo vetëm të rregullojë gabimet që nxjerrin detaje të tilla rreth përdoruesve të tij, por gjithashtu të ndihmojë në gjetjen e bazave të të dhënave të tilla që mbajnë informacione të grumbulluara.
"Programi i bujarisë së gabimeve do të ndihmojë në plotësimin e boshllëqeve në mbrojtjen e Facebook kundër gërvishtjes dhe sinjalizimin e Metës për bazat e të dhënave të gërvishtura që shfaqen në ueb," tha Paul Bischoff, avokat i privatësisë dhe redaktor i burimit kërkimor Infosec Comparitech, për Lifewire përmes emailit..
Kërcënimi i gërvishtjes
Meta iu referua skrapimit si një "sfidë në të gjithë internetin" ndërsa njoftoi zgjerimin e programit të saj të shpërblimit të gabimeve, i cili fillimisht ishte krijuar për të gjetur gabimet e softuerit në kodin që fuqizon platformën.
Sipas Bischoff, shumë platforma e kanë nxjerrë jashtë ligjit përdorimin e krueseve, edhe për informacionin që ata mbajnë dhe është i aksesueshëm nga publiku. Kjo për shkak se informacioni personalisht i identifikueshëm (PII), si emrat e përdoruesve, datat e lindjes, adresat e emailit dhe vendndodhja, përdoren shpesh nga aktorë të këqij për të synuar përdoruesit në fushatat e përpunuara të inxhinierisë sociale.
Programi bug bounty do të ndihmojë në plotësimin e boshllëqeve në mbrojtjen e Facebook kundër gërvishtjes dhe sinjalizimin e Metës për bazat e të dhënave të gërvishtura…
Megjithatë, Bischoff shton se Facebook ka luftuar për të bërë dallimin midis scrapers dhe përdoruesve legjitimë, gjë që ka rezultuar në rrjedhje të mëdha të të dhënave në të kaluarën. Ai tregon në mënyrë specifike rrjedhjen që u shfaq në mars 2020 kur Comparitech u bashkua me studiuesin e sigurisë Bob Diachenko dhe zbuloi një bazë të dhënash që përmbante ID-të e përdoruesve dhe numrat e telefonit të mbi 300 milionë përdoruesve të Facebook.
Por gërvishtja nuk është krejtësisht e paligjshme - në rastin më të mirë ajo ekziston në një zonë gri tekniko-ligjore pasi ka edhe përdorime legjitime.
"Edhe pse gërvishtja është kundër kushteve të përdorimit të Facebook, ajo nuk është rreptësisht e paligjshme. Disa operacione gërvishtjeje janë keqdashëse, por të tjera janë akademike ose gazetareske," sqaroi Bischoff.
Dëshiroj DOA
Në njoftimin e tij për zgjerimin e programit të shpërblimit të defekteve, Facebook përmendi se që nga fillimi i tij, iniciativa e shpërblimit të defekteve kishte dhënë mbi 800 shpërblime, në total mbi 2.3 milionë dollarë për studiues nga më shumë se 46 vende. Trajtimi i "sfidave të reja" si gërvishtja ishte një zgjatje e natyrshme e programit.
Edhe pse gërvishtja është kundër kushteve të përdorimit të Facebook, nuk është rreptësisht e paligjshme.
Sipas Metës, programi i zgjeruar i shpërblimit të gabimeve do t'i shpërblejë studiuesit e sigurisë në dy drejtime.
Një, si pjesë e strategjisë së saj më të madhe të sigurisë për ta bërë gërvishtjen më të vështirë dhe "më të kushtueshme" për aktorët e kërcënimit, Meta do të shpërblejë raporte rreth defekteve në platformën e saj që aktorët e këqij mund t'i shfrytëzojnë për të anashkaluar barrierat që ka ngritur për të penguar gërvishtjen.
Së dyti, platforma tha se do të shpërblejë gjithashtu gjuetarët e dhuratave të të dhënave që e informojnë atë për bazat e të dhënave të pambrojtura të disponueshme në internet që përmbajnë PII të gërvishtura të të paktën 100,000 përdoruesve unikë të Facebook.
"Nëse konfirmojmë se PII i përdoruesit është gërvishtur dhe tani është i disponueshëm në internet në një sajt jo Meta, ne do të punojmë për të marrë masat e duhura, të cilat mund të përfshijnë punën me entitetin përkatës për të hequr grupin e të dhënave ose kërkimin e mjeteve ligjore për të ndihmuar që çështja të adresohet, " vuri në dukje Meta në njoftim.
Ai shtoi se nëse gërvishtja ishte për shkak të një konfigurimi të gabuar në aplikimin e një zhvilluesi të jashtëm, platforma do të punonte me zhvilluesin për të mbyllur rrjedhjen. Nga ana tjetër, do të bëjë gjithashtu përpjekje për të siguruar që shërbimi pritës ku hakerët kanë vendosur bazën e të dhënave të gërvishtura ta heqë atë.
Shpërblimet për dhuratat e skrapimit fillojnë nga 500 dollarë, dhe ndërsa defektet e skrapimit kërkojnë pagesa monetare, informacioni rreth bazave të të dhënave të skrapuara do të jepet në formën e donacioneve bamirësie për organizatat jofitimprurëse të zgjedhura nga gazetarët.
"Me sa dimë, ky është programi i parë i shpërblimit të defekteve në industri," përmblodhi Meta. "Ne do të punojmë për të adresuar reagimet nga gjuetarët tanë kryesorë të dhuratave përpara se të zgjerojmë fushëveprimin në një audiencë më të madhe."