Belangrijkste afhaalrestaurants
- Meta heeft zijn bug bounty-programma uitgebreid om zijn platform en gebruikers te versterken tegen dataschrapers.
- Data scraping heeft ertoe geleid dat hackers in het verleden informatie hebben verzameld van meer dan 300 miljoen gebruikers.
-
Meta beweert dat het de eerste is die onderzoekers beloont voor hun hulp bij het beheersen van gegevensschrapen.
Zou het je verbazen te weten dat geautomatiseerde programma's sociale-mediaplatforms zoals Facebook doorzoeken om openbaar toegankelijke informatie te verzamelen en deze in databases te verzamelen? Afzonderlijke stukjes informatie hebben misschien niet veel nut, maar samen kunnen ze hackers in staat stellen allerlei digitale misdaden te plegen, zoals diefstal van inloggegevens en phishing-aanvallen. En Meta heeft er genoeg van.
Terwijl het sociale netwerk zelf stappen onderneemt om deze geautomatiseerde programma's, scrapers genaamd, te vangen en in te perken, heeft het platform nu besloten de hulp in te roepen van onafhankelijke beveiligingsonderzoekers door zijn bug bounty-programma's uit te breiden. Het doel is niet alleen om de bugs te repareren die dergelijke details over zijn gebruikers lekken, maar ook om te helpen bij het vinden van dergelijke databases die geschraapte informatie bevatten.
"Het bug bounty-programma zal helpen de hiaten in de verdediging van Facebook tegen scraping te vullen en Meta waarschuwen voor geschraapte databases die op het web verschijnen", vertelde Paul Bischoff, privacyadvocaat en redacteur van Infosec-onderzoeksbureau Comparitech, via e-mail aan Lifewire.
De schrapende dreiging
Meta verwees naar scraping als een "internetbrede uitdaging" omdat het de uitbreiding aankondigde van zijn bug bounty-programma, dat oorspronkelijk was ontworpen om softwareproblemen te vinden in de code die het platform aandrijft.
Volgens Bischoff hebben veel platforms het gebruik van schrapers verboden, zelfs voor de informatie die ze bevatten en die openbaar toegankelijk is. Dat komt omdat persoonlijk identificeerbare informatie (PII), zoals gebruikersnamen, geboortedata, e-mailadressen en locatie, vaak door kwaadwillenden wordt gebruikt om gebruikers te targeten in uitgebreide social engineering-campagnes.
Het bug bounty-programma helpt de hiaten in de verdediging van Facebook tegen scraping op te vullen en waarschuwt Meta voor geschraapte databases…
Bischoff voegt er echter aan toe dat Facebook moeite heeft gehad om onderscheid te maken tussen scrapers en legitieme gebruikers, wat in het verleden tot enorme datalekken heeft geleid. Hij wijst specifiek op het lek dat in maart 2020 opdook toen Comparitech samen met beveiligingsonderzoeker Bob Diachenko een database ontdekte die de gebruikers-ID's en telefoonnummers van meer dan 300 miljoen Facebook-gebruikers bevatte.
Maar schrapen is niet ronduit illegaal - het bestaat in het beste geval in een technisch-legaal grijs gebied, omdat het ook legitieme toepassingen heeft.
"Hoewel scraping in strijd is met de gebruiksvoorwaarden van Facebook, is het niet strikt illegaal. Sommige scraping-operaties zijn kwaadaardig, maar andere zijn academisch of journalistiek", verduidelijkt Bischoff.
Gezocht DOA
In de aankondiging van de uitbreiding van het bug bounty-programma, vermeldde Facebook dat het bug bounty-initiatief sinds de oprichting meer dan 800 premies had toegekend, in totaal meer dan $ 2,3 miljoen aan onderzoekers uit meer dan 46 landen. Het aanpakken van "nieuwe uitdagingen", zoals schrapen, was een natuurlijke uitbreiding van het programma.
Hoewel scrapen in strijd is met de gebruiksvoorwaarden van Facebook, is het niet strikt illegaal.
Volgens Meta zal het uitgebreide bug bounty-programma beveiligingsonderzoekers op twee fronten belonen.
Eén, als onderdeel van zijn grotere beveiligingsstrategie om scraping moeilijker en "duurder" te maken voor bedreigingsactoren, zal Meta rapporten toekennen over bugs in zijn platform die slechte actoren kunnen misbruiken om de barrières te omzeilen die het heeft opgericht om scraping te ontmoedigen.
Ten tweede zei het platform dat het ook premiejagers voor gegevens zal belonen die het informeren over onbeschermde databases die online beschikbaar zijn en die de geschraapte PII van ten minste 100.000 unieke Facebook-gebruikers bevatten.
"Als we bevestigen dat gebruikers-PII is geschraapt en nu online beschikbaar is op een niet-Meta-site, zullen we passende maatregelen nemen, waaronder mogelijk samenwerken met de relevante entiteit om de dataset te verwijderen of juridische middelen zoeken om ervoor te zorgen dat het probleem wordt opgelost, " merkte Meta op in de aankondiging.
Het voegde eraan toe dat als het schrapen het gevolg was van een verkeerde configuratie in de toepassing van een externe ontwikkelaar, het platform zou samenwerken met de ontwikkelaar om het lek te dichten. Aan de andere kant zal het ook inspanningen leveren om ervoor te zorgen dat de hostingservice waar de hackers de geschraapte database hebben ondergebracht, deze offline ha alt.
De beloningen voor de scraping-premies beginnen bij $ 500, en hoewel de scraping-bugs geldelijke uitbetalingen met zich meebrengen, zal informatie over geschraapte databases worden toegekend in de vorm van liefdadigheidsdonaties aan non-profitorganisaties naar keuze van de verslaggevers.
"Voor zover wij weten, is dit het eerste scraping bug bounty-programma in de branche", vatte Meta samen. "We zullen proberen de feedback van onze beste premiejagers aan te pakken voordat we het bereik uitbreiden naar een groter publiek."