Pagrindiniai pasiėmimai
- Meta išplėtė savo klaidų mažinimo programą, kad apsaugotų savo platformą ir vartotojus nuo duomenų grandiklių.
- Duomenų rinkimas lėmė tai, kad įsilaužėliai praeityje surinko daugiau nei 300 milijonų vartotojų informaciją.
-
Meta teigia, kad ji pirmoji apdovanoja tyrėjus už jų pagalbą renkant duomenis.
Ar nustebtumėte sužinoję, kad automatizuotos programos šluoja socialinės žiniasklaidos platformas, pvz., „Facebook“, kad surinktų bet kokią viešai prieinamą informaciją ir sugretintų ją duomenų bazėse? Atskiros informacijos dalys gali būti nenaudingos, tačiau kartu jos gali sudaryti sąlygas įsilaužėliams vykdyti visų rūšių skaitmeninius nusik altimus, pvz., kredencialų vagystes ir sukčiavimo atakas. Ir Metai to jau gana.
Nors pats socialinis tinklas imasi veiksmų, kad gaudytų ir apribotų šias automatizuotas programas, vadinamas grandikliais, platforma dabar nusprendė pasitelkti nepriklausomus saugumo tyrinėtojus, išplėtusi savo klaidų programas. Jos tikslas yra ne tik ištaisyti klaidas, kurios nutekina tokią informaciją apie vartotojus, bet ir padėti rasti tokias duomenų bazes, kuriose saugoma nuskaityta informacija.
„Big Bounty programa padės užpildyti „Facebook“apsaugos nuo įbrėžimų spragas ir įspėti „Meta“apie iškarpytas duomenų bazes, kurios atsiranda internete“, – el. paštu Lifewire sakė Paulas Bischoffas, „Infosec“tyrimų centro „Comparitech“redaktorius..
Grėsmingas įbrėžimas
Meta nurodė išgryninimą kaip „interneto iššūkį“, nes paskelbė apie savo klaidų mažinimo programos išplėtimą, kuri iš pradžių buvo skirta platformą valdančio kodo programinės įrangos trikdžiams aptikti.
Pasak Bischoff, daugelis platformų uždraudė naudoti grandiklius, net ir dėl jų turimos informacijos, kuri yra viešai prieinama. Taip yra todėl, kad asmenį identifikuojančią informaciją (PII), pvz., naudotojų vardus, gimimo datas, el. pašto adresus ir vietą, blogi veikėjai dažnai naudoja siekdami taikyti naudotojus sudėtingose socialinės inžinerijos kampanijose.
Klaidų kompensavimo programa padės užpildyti „Facebook“apsaugos nuo įbrėžimų spragas ir įspėti „Meta“apie nukopijuotas duomenų bazes…
Tačiau Bischoff priduria, kad „Facebook“stengėsi atskirti grandiklius nuo teisėtų vartotojų, todėl praeityje buvo nutekėję didžiuliai duomenys. Jis konkrečiai atkreipia dėmesį į nutekėjimą, kuris iškilo 2020 m. kovo mėn., kai „Comparitech“bendradarbiavo su saugumo tyrinėtoju Bobu Diachenko ir atrado duomenų bazę, kurioje buvo daugiau nei 300 milijonų „Facebook“naudotojų ID ir telefono numeriai.
Tačiau grandymas nėra visiškai neteisėtas – geriausiu atveju jis egzistuoja technolegalinėje pilkojoje srityje, nes taip pat yra teisėtas naudojimas.
"Nors grandymas prieštarauja "Facebook" naudojimo sąlygoms, tai nėra griežtai neteisėta. Kai kurios išgryninimo operacijos yra kenkėjiškos, tačiau kitos yra akademinės arba žurnalistinės", - paaiškino Bischoffas.
Noriu DOA
Skelbdama apie klaidų kompensavimo programos išplėtimą, „Facebook“paminėjo, kad nuo pat jos pradžios ši iniciatyva tyrėjams iš daugiau nei 46 šalių skyrė daugiau nei 800 premijų, iš viso daugiau nei 2,3 mln. USD. „Naujų iššūkių“, pvz., išgryninimo, sprendimas buvo natūralus programos tęsinys.
Nors grandymas prieštarauja „Facebook“naudojimo sąlygoms, tai nėra griežtai neteisėta.
Pasak „Meta“, išplėstinė klaidų mažinimo programa apsaugos tyrėjus apdovanos dviem frontais.
Viena, pagal savo didesnę saugumo strategiją, kuria siekiama, kad grėsmių subjektams grėsmė būtų sunkesnė ir „brangesnė“, „Meta“apdovanos ataskaitas apie savo platformos klaidas, kurias blogi veikėjai gali išnaudoti, kad apeitų kliūtis, kurias ji sukūrė, kad atgrasytų nuo grandymo..
Antra, platforma teigė, kad ji taip pat apdovanos duomenų medžiotojus, kurie informuos ją apie neapsaugotas duomenų bazes, pasiekiamas internete, kuriose yra bent 100 000 unikalių „Facebook“naudotojų AII.
Jei patvirtinsime, kad naudotojo AII buvo nuskaityta ir dabar pasiekiama internete ne meta svetainėje, imsimės atitinkamų priemonių, įskaitant bendradarbiavimą su atitinkamu subjektu, kad pašalintume duomenų rinkinį arba ieškosime teisinių priemonių padėti užtikrinti, kad problema būtų išspręsta“, – pranešime pažymėjo Meta.
Pridėta, kad jei įbrėžimas įvyko dėl netinkamos išorinio kūrėjo programos konfigūracijos, platforma bendradarbiaus su kūrėju, kad pašalintų nuotėkį. Kita vertus, ji taip pat stengsis užtikrinti, kad prieglobos paslauga, kurioje įsilaužėliai laikė nukopijuotą duomenų bazę, ją pašalintų.
Atlygis už nuskaitymo premijas prasideda nuo 500 USD, o už pašalinimo klaidas reikia išmokėti pinigines išmokas, informacija apie ištrintas duomenų bazes bus apdovanota labdaros aukų forma žurnalistų pasirinktoms ne pelno organizacijoms.
„Mūsų žiniomis, tai yra pirmoji programinė įranga, skirta kaupti klaidas pramonėje“, – apibendrino Meta. „Dirbsime, kad atsižvelgtume į mūsų geriausių galvų medžiotojų atsiliepimus, prieš išplėsdami taikymo sritį į didesnę auditoriją.“