Meta объявила о расширении своей платформы bug bounty, включив в нее уязвимости, которыми можно злоупотреблять для извлечения данных.
В среду компания, недавно переименованная в Facebook, заявила, что два новых области исследований вращаются вокруг очистки ошибок и очищенных баз данных, содержащих информацию о пользователях.
Дэн Гурфинкель (Dan Gurfinkel), менеджер по разработке безопасности, сказал, что включение действительных парсинговых ошибок и открытых наборов данных в программу поощрения ошибок, насколько известно компании, является «первым в отрасли».
Мета / Facebook был замешан в многочисленных инцидентах, связанных со сбором пользовательских данных. Самым известным из них является скандал с Cambridge Analytica, в ходе которого данные 87 миллионов пользователей были извлечены и переданы без их согласия.
Совсем недавно информация, принадлежащая примерно 553 миллионам пользователей Facebook, была размещена в сети. Мета сообщила, что массовый сбор данных произошел в 2019 году.
«Мы знаем, что автоматизированная деятельность, предназначенная для очистки общедоступных и частных данных людей, нацелена на каждый веб-сайт или службу», — говорит Гурфинкель. «Мы также знаем, что это очень враждебная среда, где парсеры — будь то вредоносные приложения, веб-сайты или скрипты — постоянно адаптируют свою тактику, чтобы избежать обнаружения, в ответ на средства защиты, которые мы создаем и улучшаем».
Чтобы помочь компании в быстром устранении проблем со сканированием данных в своих приложениях и сервисах, Meta ищет отчеты об уязвимостях, которые позволяют обходить лимитные механизмы очистки, и те, которые позволяют выполнять очистку «в большем масштабе, чем предполагалось в продукте». В частности, Мета призывает исследователей искать проблемы логического обхода, хотя ошибки ограничения скорости также входят в сферу охвата.
Очищенные базы данных будут включать отчеты о незащищенных и открытых общедоступных базах данных, обнаруженных в Интернете, которые содержат не менее 100 000 записей об уникальных пользователях, а также конфиденциальную информацию, такую как адреса электронной почты и номера телефонов.
За устранение ошибок предлагается финансовое вознаграждение от 500 долларов, а очищенные отчеты из базы данных будут сопоставляться с благотворительными пожертвованиями. Перед расширением мы будем запрашивать отзывы у «лучших» охотников за головами компании.
Гурфинкель также рассказал о продвижении компании по программе bug bounties. С 2011 года, когда программа была запущена, было получено более 150 000 сообщений об ошибках, и более 7 800 были награждены вознаграждением. В общей сложности Meta выплатила более 14 миллионов долларов.
В течение 2021 года Meta выделила 2,3 миллиона долларов исследователям за 800 отчетов об уязвимостях из примерно 25000.
Ранее в этом месяце Meta расширила сферу действия Facebook Protect, службы, предназначенной для повышения безопасности учетных записей пользователей, которые, как считается, подвержены более высокому риску взлома злоумышленниками.
К концу этого года Facebook Protect должен быть развернут в более чем 50 странах. Так же, как Google и Microsoft, Meta предлагает эту услугу отдельным лицам, включая юристов, журналистов, членов организаций по защите прав человека и политических деятелей.