מזונות חשובים
- Meta הרחיבה את תוכנית הבאונטי שלה כדי לחזק את הפלטפורמה והמשתמשים שלה נגד מגרדי נתונים.
- גרידת נתונים הובילה להאקרים שצברו מידע של למעלה מ-300 מיליון משתמשים בעבר.
-
Meta טוענת שהיא הראשונה שמתגמלת חוקרים על עזרתם למלוך בגרידת נתונים.
האם זה יפתיע אותך לדעת שתוכניות אוטומטיות גורפות פלטפורמות של מדיה חברתית כמו פייסבוק כדי לאסוף כל מידע נגיש לציבור ולאסוף אותו בתוך מסדי נתונים? ייתכן שפיסות מידע בודדות לא יועילו במיוחד, אבל יחד הן יכולות לאפשר להאקרים לבצע כל מיני פשעים דיגיטליים, כגון גניבות אישורים והתקפות דיוג.ולמטה נמאס מזה.
בעוד שהרשת החברתית עצמה נוקטת בצעדים כדי לתפוס ולצמצם את התוכניות האוטומטיות הללו הנקראות מגרדים, הפלטפורמה החליטה כעת להיעזר בחוקרי אבטחה עצמאיים על ידי הרחבת תוכניות הבאונטי שלה. המטרה שלה היא לא רק לתקן את הבאגים שמדליפים פרטים כאלה על המשתמשים שלה, אלא גם לעזור למצוא מאגרי מידע כאלה שמכילים מידע מגורד.
"תוכנית הבאונטי תעזור למלא את הפערים בהגנות של פייסבוק מפני גרידה ותתריע ל-Meta על מסדי נתונים מגורדים שמופיעים ברשת", אמר פול בישוף, תומך פרטיות ועורך של ערכת המחקר של Infosec Comparitech, ל-Lifewire באימייל.
אימת הגרידה
Meta התייחסה לגרידה כ"אתגר כלל-אינטרנט", כשהודיעה על הרחבת תוכנית הבאג-באונטי שלה, שתוכננה בתחילה למצוא תקלות תוכנה בקוד שמניע את הפלטפורמה.
לפי בישוף, פלטפורמות רבות הוציאו מחוץ לחוק את השימוש במגרדים, אפילו עבור המידע שבידיהן נגיש לציבור. הסיבה לכך היא שמידע אישי מזהה (PII), כגון שמות משתמש, תאריכי לידה, כתובות דוא ל ומיקום, משמש לעתים קרובות על ידי שחקנים גרועים כדי למקד למשתמשים בקמפיינים של הנדסה חברתית משוכללים.
תוכנית הבאגים תעזור למלא את הפערים בהגנות של פייסבוק מפני גרידה ותתריע בפני Meta על מסדי נתונים מגורדים…
עם זאת, בישוף מוסיף שפייסבוק התקשתה להבחין בין מגרדים למשתמשים לגיטימיים, מה שהביא לדליפות נתונים אדירות בעבר. הוא מצביע במיוחד על הדליפה שצצה במרץ 2020 כאשר קומפריטק התחברה לחוקר האבטחה בוב דיאצ'נקו וגילתה מסד נתונים שהכיל את מזהי המשתמשים ומספרי הטלפון של למעלה מ-300 מיליון משתמשי פייסבוק.
אבל גרידה אינה בלתי חוקית בעליל - במקרה הטוב היא קיימת באזור אפור טכנו-משפטי שכן יש לה גם שימושים לגיטימיים.
"למרות שגרידה נוגדת את תנאי השימוש של פייסבוק, זה לא בלתי חוקי בהחלט. חלק מפעולות הגרידה הן זדוניות, אבל אחרות הן אקדמיות או עיתונאיות", הבהיר בישוף.
מבוקש DOA
בהודעתה על הרחבת תוכנית הבאונטי, פייסבוק הזכירה כי מאז הקמתה, יוזמת הבאונטי העניקה למעלה מ-800 פרסים, בסכום כולל של למעלה מ-2.3 מיליון דולר לחוקרים מיותר מ-46 מדינות. התמודדות עם "אתגרים חדשים" כגון גרידה הייתה הרחבה טבעית של התוכנית.
למרות שגרידה מנוגדת לתנאי השימוש של פייסבוק, זה לא בלתי חוקי בהחלט.
לפי Meta, תוכנית הבאונטי המורחבת תתגמל חוקרי אבטחה בשתי חזיתות.
אחד, כחלק מאסטרטגיית האבטחה הגדולה יותר שלה כדי להפוך את הגרידה לקשה יותר ו"יקרה" יותר עבור גורמי איומים, Meta תעניק דיווחים על באגים בפלטפורמה שלה ששחקנים רעים יכולים לנצל כדי לעקוף את המחסומים שהיא הוקמה כדי להניא גרידה.
שנית, הפלטפורמה אמרה שהיא גם תעניק ציידי ראשים בנתונים שיודיעו לה על מסדי נתונים לא מוגנים הזמינים באינטרנט המכילים את הפרטים האישיים של לפחות 100,000 משתמשי פייסבוק ייחודיים.
"אם נאשר שה-PII של המשתמש נגרד והוא זמין כעת באינטרנט באתר שאינו מטא, נפעל לנקוט באמצעים מתאימים, שעשויים לכלול עבודה עם הישות הרלוונטית להסרת מערך הנתונים או חיפוש אמצעים משפטיים כדי להבטיח שהבעיה תטופל", ציין Meta בהודעה.
הוא הוסיף שאם הגרידה הייתה בגלל תצורה שגויה באפליקציה של מפתח חיצוני, הפלטפורמה תעבוד עם המפתח כדי לסתום את הדליפה. מצד שני, היא גם תעשה מאמצים להבטיח ששירות האירוח שבו ההאקרים שיכנו את מסד הנתונים המגורד יוריד אותו.
התגמולים עבור פרסי הגרידה מתחילים ב-$500, ובעוד שבאגי הגרידה כרוכים בתשלומים כספיים, מידע על מאגרי מידע מגורדים יוענק בצורה של תרומות לצדקה לעמותות לפי בחירת הכתבים.
"למיטב ידיעתנו, זו התוכנית הראשונה של פרס שחרור באגים בתעשייה", סיכמה מטה. "אנחנו נפעל לתת מענה למשוב מצידי ראשים המובילים שלנו לפני שנרחיב את ההיקף לקהל גדול יותר."