Негізгі ұсыныстар
- Meta платформасы мен пайдаланушыларды деректер скреперлеріне қарсы күшейту үшін қателік сыйақы бағдарламасын кеңейтті.
- Деректерді өшіру хакерлердің бұрын 300 миллионнан астам пайдаланушының ақпаратын жинауына әкелді.
-
Meta бұл зерттеушілерді деректерді скрепингке көмектескені үшін марапаттайтын бірінші компания екенін мәлімдейді.
Автоматтандырылған бағдарламалардың кез келген жалпыға қолжетімді ақпаратты жинау және оларды дерекқорлар ішінде жинақтау үшін Facebook сияқты әлеуметтік медиа платформаларын сыпырып алатынын білу сізді таң қалдырады ма? Ақпараттың жеке бөліктері көп пайдасыз болуы мүмкін, бірақ олар бірге хакерлерге тіркелгі деректерін ұрлау және фишингтік шабуылдар сияқты сандық қылмыстардың барлық түрлерін жасауға мүмкіндік береді. Ал Мета бұған жеткілікті болды.
Әлеуметтік желінің өзі қырғыштар деп аталатын автоматтандырылған бағдарламаларды ұстап алу және қысқарту үшін қадамдар жасап жатқанымен, платформа енді қателерді марапаттау бағдарламаларын кеңейту арқылы тәуелсіз қауіпсіздік зерттеушілерінің көмегіне жүгінуді шешті. Оның мақсаты – пайдаланушылар туралы мәліметтерді таратып жіберетін қателерді түзетіп қана қоймай, сонымен қатар жойылған ақпаратты сақтайтын дерекқорларды табуға көмектесу.
"Қателерді марапаттау бағдарламасы Facebook-тің қырып тастауға қарсы қорғанысындағы олқылықтарды толтыруға көмектеседі және Meta-ны интернетте пайда болатын қырылған дерекқорлар туралы ескертеді ", - деді Пол Бишофф, құпиялылықты қорғаушы және Infosec зерттеу орталығы Comparitech редакторы Lifewire-ке электрондық пошта арқылы..
Сырғыш қауіп
Meta платформаны қуаттандыратын кодтағы бағдарламалық құрал ақауларын табу үшін жасалған қате сыйақы бағдарламасының кеңейтілгенін жариялағандықтан, скрепингті «интернет бойынша ауқымды сынақ» деп атады.
Бишоффтың айтуынша, көптеген платформалар қырғыштарды пайдалануға тыйым салған, тіпті оларда бар ақпараттар үшін де жалпыға қолжетімді. Бұл пайдаланушы аттары, туған күндер, электрондық пошта мекенжайлары және орналасқан жер сияқты жеке сәйкестендірілетін ақпаратты (PII) әлеуметтік инженерлік науқандарда пайдаланушыларды мақсатты түрде қолдану үшін жиі пайдаланады.
Қателерді марапаттау бағдарламасы Facebook-тің қырып тастауға қарсы қорғанысындағы олқылықтарды толтыруға көмектеседі және Meta-ны жойылған дерекқорлар туралы ескертеді…
Алайда, Бишофф Facebook-тің скреперлер мен заңды пайдаланушыларды ажырата алмай қиналғанын, бұл өткенде үлкен деректердің ағып кетуіне әкелгенін қосады. Ол 2020 жылдың наурыз айында Comparitech қауіпсіздік зерттеушісі Боб Диаченкомен бірігіп, 300 миллионнан астам Facebook пайдаланушысының пайдаланушы идентификаторлары мен телефон нөмірлері бар дерекқорды тапқан кезде пайда болған ақпараттың ағып кетуіне ерекше назар аударады.
Бірақ қырып алу мүлдем заңсыз емес - ол ең жақсы жағдайда техно-құқықтық сұр аймақта бар, өйткені оның заңды қолданылуы да бар.
"Скреп жасау Facebook-тің пайдалану шарттарына қайшы келсе де, бұл мүлдем заңсыз емес. Кейбір қыру әрекеттері зиянды, бірақ басқалары академиялық немесе журналистік", - деп түсіндірді Бишофф.
Қалаған DOA
Қателерді марапаттау бағдарламасының кеңеюі туралы хабарламасында Facebook қателер үшін сыйақы бастамасы құрылғаннан бері 46-дан астам елдің зерттеушілеріне жалпы сомасы 2,3 миллион доллардан астам 800 сыйақы тағайындағанын атап өтті. Қырғыш сияқты "жаңа қиындықтармен" күресу бағдарламаның табиғи жалғасы болды.
Тіркеу Facebook-тің пайдалану шарттарына қайшы келсе де, бұл мүлдем заңсыз емес.
Meta мәліметтері бойынша, кеңейтілген қателік сыйақы бағдарламасы қауіпсіздік зерттеушілерін екі бағытта марапаттайды.
Бірі, қауіп-қатер жасаушылар үшін қырып тастауды қиындату және «қымбатырақ» ету үшін үлкен қауіпсіздік стратегиясының бір бөлігі ретінде Meta платформасындағы қателер туралы есептерді береді, бұл жаман актерлар қырып тастауды болдырмау үшін қойылған кедергілерді айналып өту үшін пайдалана алады..
Екіншіден, платформа сонымен қатар кем дегенде 100 000 бірегей Facebook пайдаланушысының скрипттелген PII деректерін қамтитын желіде қолжетімді қорғалмаған дерекқорлар туралы хабардар ететін деректерді марапаттаушыларды марапаттайтынын айтты.
Егер пайдаланушының PII деректері жойылғанын және енді Meta емес сайтта онлайн қолжетімді екенін растасақ, деректер жинағын жою үшін тиісті ұйыммен жұмыс істеу немесе заңды құралдарды іздеуді қамтуы мүмкін тиісті шараларды қабылдау үшін жұмыс істейміз. мәселені шешуге көмектесу үшін », - деп атап өтті Meta хабарландыруда.
Егер сызат сыртқы әзірлеуші қолданбасындағы қате конфигурацияға байланысты болса, платформа ағып кетуді жою үшін әзірлеушімен бірге жұмыс істейтіні қосылды. Екінші жағынан, ол сондай-ақ хакерлер қырылған дерекқорды орналастырған хостинг қызметі оны өшіріп тастауға күш салады.
Қарау сыйлығының сыйақысы $500-ден басталады, ал скрипка қателері ақшалай төлемдерді талап еткенімен, жойылған дерекқорлар туралы ақпарат тілшілер таңдауы бойынша коммерциялық емес ұйымдарға қайырымдылық көмек ретінде беріледі.
"Біздің білуімізше, бұл саладағы қателерді жоюға арналған бірінші бағдарлама", - деп түйіндеді Мета. "Біз ауқымды аудиторияға кеңейтпес бұрын, үздік марапат іздеушілеріміздің пікірлерін шешуге тырысамыз."