Önemli Bilgiler
- Meta, platformunu ve kullanıcılarını veri kazıyıcılarına karşı güçlendirmek için hata ödül programını genişletti.
- Veri kazıma, bilgisayar korsanlarının geçmişte 300 milyondan fazla kullanıcının bilgilerini toplamasına neden oldu.
-
Meta, araştırmacıları veri kazımada hüküm sürmeye yardım ettikleri için ödüllendiren ilk kişi olduğunu iddia ediyor.
Otomatik programların, herkesin erişebileceği bilgileri toplamak ve bunları veritabanlarında toplamak için Facebook gibi sosyal medya platformlarını taradığını bilmek sizi şaşırtacak mı? Tek tek bilgi parçaları pek kullanışlı olmayabilir, ancak birlikte, bilgisayar korsanlarının kimlik bilgisi hırsızlığı ve kimlik avı saldırıları gibi her türlü dijital suçu işlemesine olanak sağlayabilir. Ve Meta bundan bıktı.
Sosyal ağın kendisi kazıyıcı adı verilen bu otomatik programları yakalamak ve kısıtlamak için adımlar atarken, platform şimdi hata ödül programlarını genişleterek bağımsız güvenlik araştırmacılarının yardımını almaya karar verdi. Amacı, yalnızca kullanıcıları hakkında bu tür ayrıntıları sızdıran hataları düzeltmek değil, aynı zamanda kazınmış bilgileri tutan bu tür veritabanlarını bulmaya yardımcı olmaktır.
Infosec araştırma kuruluşu Comparitech'in gizlilik savunucusu ve editörü Paul Bischoff, Lifewire'a e-posta yoluyla verdiği demeçte, "Hata ödül programı, Facebook'un kazımaya karşı savunmasındaki boşlukları doldurmaya yardımcı olacak ve Meta'yı web'de ortaya çıkan kazınmış veritabanlarına karşı uyaracak.".
Kazıma Tehdidi
Meta, başlangıçta platforma güç sağlayan koddaki yazılım hatalarını bulmak için tasarlanan hata ödül programının genişletildiğini duyurduğu için kazımaya "internet çapında bir meydan okuma" olarak atıfta bulundu.
Bischoff'a göre, birçok platform, kamuya açık olan bilgiler için bile kazıyıcı kullanımını yasakladı. Bunun nedeni, kullanıcı adları, doğum tarihleri, e-posta adresleri ve konum gibi kişisel olarak tanımlanabilir bilgilerin (PII) genellikle kötü oyuncular tarafından ayrıntılı sosyal mühendislik kampanyalarında kullanıcıları hedeflemek için kullanılmasıdır.
Hata ödül programı, Facebook'un kazımaya karşı savunmasındaki boşlukları doldurmaya yardımcı olacak ve Meta'yı kazınmış veritabanlarına karşı uyaracak…
Ancak Bischoff, Facebook'un sıyırıcılar ve meşru kullanıcılar arasında ayrım yapmakta zorlandığını ve bunun geçmişte büyük veri sızıntılarına neden olduğunu ekliyor. Comparitech'in güvenlik araştırmacısı Bob Diachenko ile birlikte çalıştığı ve 300 milyondan fazla Facebook kullanıcısının kullanıcı kimliklerini ve telefon numaralarını içeren bir veritabanı keşfettiği Mart 2020'de ortaya çıkan sızıntıya özellikle dikkat çekiyor.
Ancak kazıma tamamen yasa dışı değildir-en iyi ihtimalle meşru kullanımları olduğu için tekno-yasal gri bir alanda bulunur.
"Kazıma Facebook'un kullanım koşullarına aykırı olsa da, kesinlikle yasa dışı değil. Bazı kazıma işlemleri kötü amaçlıdır, ancak diğerleri akademik veya gazetecidir, " diye açıkladı Bischoff.
Aranan DOA
Hata ödül programının genişletilmesine ilişkin duyurusunda Facebook, hata ödül girişiminin başlangıcından bu yana 800'den fazla ödül verdiğini ve 46'dan fazla ülkeden araştırmacılara toplam 2,3 milyon doların üzerinde ödül verdiğini belirtti. Kazıma gibi "yeni zorluklarla" mücadele etmek programın doğal bir uzantısıydı.
Scraping Facebook'un kullanım koşullarına aykırı olsa da kesinlikle yasa dışı değildir.
Meta'ya göre, genişletilmiş hata ödül programı güvenlik araştırmacılarını iki cephede ödüllendirecek.
One, kazımayı tehdit aktörleri için daha zor ve "daha maliyetli" hale getirmek için daha büyük güvenlik stratejisinin bir parçası olarak Meta, platformundaki kötü aktörlerin kazımayı caydırmak için oluşturduğu engelleri aşmak için kullanabileceği hatalar hakkında raporlar verecek.
İkincisi, platform ayrıca, en az 100.000 benzersiz Facebook kullanıcısının kazınmış kişisel bilgilerini içeren çevrimiçi olarak mevcut korumasız veritabanları hakkında bilgi veren veri ödül avcılarını da ödüllendireceğini söyledi.
"Kullanıcı PII'sinin silindiğini ve artık Meta olmayan bir sitede çevrimiçi olarak kullanılabildiğini onaylarsak, veri kümesini kaldırmak için ilgili kuruluşla çalışmayı veya yasal yollara başvurmayı içerebilecek uygun önlemleri almak için çalışacağız. sorunun ele alınmasına yardımcı olmak için, " diye belirtti Meta duyuruda.
Sıkıntı, harici bir geliştiricinin uygulamasındaki yanlış yapılandırmadan kaynaklanıyorsa, platformun sızıntıyı kapatmak için geliştiriciyle birlikte çalışacağını ekledi. Öte yandan, bilgisayar korsanlarının kazınmış veritabanını barındırdığı barındırma hizmetinin onu indirmesini sağlamak için de çaba gösterecektir.
Kazanma ödüllerinin ödülleri 500 dolardan başlıyor ve kazıma hataları parasal ödemeler gerektirse de, kazınan veritabanlarıyla ilgili bilgiler, muhabirlerin seçeceği kâr amacı gütmeyen kuruluşlara hayırsever bağışları şeklinde verilecek.
"Bildiğimiz kadarıyla, bu sektördeki ilk kazıma hatası ödül programı," diye özetledi Meta. "Kapsamımızı daha geniş bir kitleye genişletmeden önce en iyi ödül avcılarımızdan gelen geri bildirimleri ele almak için çalışacağız."
