Atslēgas līdzņemšanai
- Meta ir paplašinājusi savu kļūdu novēršanas programmu, lai stiprinātu savu platformu un lietotājus pret datu skrāpjiem.
- Datu nokasīšanas rezultātā hakeri pagātnē ir uzkrājuši informāciju par vairāk nekā 300 miljoniem lietotāju.
-
Meta apgalvo, ka tā ir pirmā, kas apbalvo pētniekus par viņu palīdzību datu skrāpēšanā.
Vai jūs būtu pārsteigts, uzzinot, ka automatizētās programmas izmanto sociālo mediju platformas, piemēram, Facebook, lai savāktu jebkādu publiski pieejamu informāciju un apkopotu to datu bāzēs? Atsevišķas informācijas daļas var nebūt noderīgas, taču kopā tās var ļaut hakeriem veikt visa veida digitālos noziegumus, piemēram, akreditācijas datu zādzības un pikšķerēšanas uzbrukumus. Un Metam ar to ir gana.
Kamēr pats sociālais tīkls veic pasākumus, lai noķertu un ierobežotu šīs automatizētās programmas, ko sauc par skrāpjiem, platforma tagad ir nolēmusi piesaistīt neatkarīgu drošības pētnieku palīdzību, paplašinot savas kļūdu novēršanas programmas. Tās mērķis ir ne tikai novērst kļūdas, kas nopludina šādu informāciju par lietotājiem, bet arī palīdzēt atrast tādas datubāzes, kurās ir izkopta informācija.
"Kļūdu atlīdzības programma palīdzēs aizpildīt nepilnības Facebook aizsardzībā pret nokasīšanu un brīdinās Meta par izkoptām datubāzēm, kas parādās tīmeklī," e-pastā Lifewire stāstīja Pols Bišofs, privātuma aizstāvis un Infosec pētniecības veikala Comparitech redaktors..
Skrāpēšanas draudi
Meta atsaucās uz nokasīšanu kā "interneta mēroga izaicinājumu", jo tā paziņoja par savas kļūdu novēršanas programmas paplašināšanu, kas sākotnēji tika izstrādāta, lai atrastu programmatūras kļūdas kodā, kas nodrošina platformu.
Saskaņā ar Bischoff teikto, daudzas platformas ir aizliegušas izmantot skrāpjus pat attiecībā uz to rīcībā esošo informāciju, kas ir publiski pieejama. Tas ir tāpēc, ka slikti dalībnieki bieži izmanto personu identificējošu informāciju (PII), piemēram, lietotājvārdus, dzimšanas datumus, e-pasta adreses un atrašanās vietu, lai atlasītu lietotājus sarežģītās sociālās inženierijas kampaņās.
Kļūdu atlīdzības programma palīdzēs aizpildīt nepilnības Facebook aizsardzībā pret nokasīšanu un brīdinās Meta par izkoptām datubāzēm…
Tomēr Bišofs piebilst, ka Facebook ir cīnījies, lai atšķirtu skrāpjus no likumīgajiem lietotājiem, kā rezultātā pagātnē ir notikušas milzīgas datu noplūdes. Viņš īpaši norāda uz noplūdi, kas parādījās 2020. gada martā, kad Comparitech sadarbojās ar drošības pētnieku Bobu Diačenko un atklāja datubāzi, kurā bija vairāk nekā 300 miljonu Facebook lietotāju lietotāju ID un tālruņu numuri.
Bet nokasīšana nav gluži nelikumīga - labākajā gadījumā tā pastāv tehno-juridiskajā pelēkajā zonā, jo tai ir arī likumīgs lietojums.
"Lai gan skrāpēšana ir pretrunā Facebook lietošanas noteikumiem, tā nav stingri nelikumīga. Dažas nokasīšanas darbības ir ļaunprātīgas, bet citas ir akadēmiskas vai žurnālistiskas," paskaidroja Bišofs.
Vēlējos DOA
Paziņojumā par kļūdu novēršanas programmas paplašināšanu Facebook minēja, ka kopš tās pirmsākumiem kļūdu novēršanas iniciatīva pētniekiem no vairāk nekā 46 valstīm ir piešķīrusi vairāk nekā 800 balvas, kopumā vairāk nekā 2,3 miljonu ASV dolāru apmērā. "Jaunu izaicinājumu" risināšana, piemēram, skrāpēšana, bija dabisks programmas paplašinājums.
Lai gan skrāpēšana ir pretrunā Facebook lietošanas noteikumiem, tā nav stingri pretlikumīga.
Saskaņā ar Meta, paplašinātā kļūdu novēršanas programma atalgos drošības pētniekus divās jomās.
Pirmkārt, kā daļa no savas lielākās drošības stratēģijas, lai padarītu skrāpēšanu grūtāku un "dārgāku" apdraudējuma dalībniekiem, Meta piešķirs ziņojumus par kļūdām savā platformā, ko slikti dalībnieki var izmantot, lai apietu šķēršļus, ko tā ir uzcēlusi, lai atturētu no nokasīšanas..
Otrkārt, platforma paziņoja, ka tā piešķirs arī datu devēju medniekus, kuri informēs par tiešsaistē pieejamām neaizsargātām datubāzēm, kas satur vismaz 100 000 unikālo Facebook lietotāju izkopto PII.
"Ja apstiprināsim, ka lietotāja PII tika nokopta un tagad ir pieejama tiešsaistē vietnē, kas nav Meta, mēs strādāsim, lai veiktu atbilstošus pasākumus, kas var ietvert sadarbību ar attiecīgo juridisko personu, lai noņemtu datu kopu vai juridisku līdzekļu meklēšanu. lai palīdzētu nodrošināt problēmas risināšanu," paziņojumā norādīja Meta.
Tajā tika piebilsts, ka, ja skrāpējums noticis nepareizas konfigurācijas dēļ ārēja izstrādātāja lietojumprogrammā, platforma sadarbosies ar izstrādātāju, lai novērstu noplūdi. No otras puses, tā arī pieliks pūles, lai nodrošinātu, ka mitināšanas pakalpojums, kurā hakeri ir glabājuši izkopto datu bāzi, to noņem.
Atlīdzība par skrāpēšanas prēmijām sākas no 500 $, un, lai gan nokasīšanas kļūdas ir saistītas ar naudas izmaksām, informācija par izkoptajām datu bāzēm tiks piešķirta labdarības ziedojumu veidā bezpeļņas organizācijām pēc reportieru izvēles.
"Cik mums ir zināms, šī ir pirmā kļūdu novēršanas programma šajā nozarē," rezumēja Meta. "Mēs strādāsim, lai ņemtu vērā atsauksmes no mūsu labākajiem devību medniekiem, pirms paplašināsim darbības jomu plašākai auditorijai."
