Meta erweitert Programmierfehler-Bounty-Sendung um Data Scraping

Meta, dasjenige kürzlich von Facebook umbenannt wurde, gab heute die Dehnung seiner Programmierfehler-Bounty- und Data-Bounty-Programme prestigeträchtig, um gültige Berichte hoch sogenannte Scraping-Bugs und Scraped-Datenbanken mit einer finanziellen Erstattung bzw. entsprechenden Spenden zu Händen wohltätige Zwecke zu honorieren.

Dieser Schritttempo soll dasjenige Risiko von Angriffsaktivitäten verringern, die darauf abzielen, öffentliche und private Statistik abzukratzen, die eine Risiko zu Händen jedweder Arten von Websites und Diensten darstellen. Scraper wie bösartige Apps, Websites und Skripte werden ständig aktualisiert, um welcher Erkennung zu entkommen. Die Idee hiermit ist, den Prozess zu Händen Angreifer schwieriger und teurer zu zeugen, erklärt Dan Gurfinkel, Manager Security Engineering, in einem Blogbeitrag.

Die Programme werden denn privater Kopfgeld-Track zu Händen die Gold+ HackerPlus-Forscher von Meta starten. Dies Unternehmen werde Berichte hoch Scraping-Methoden honorieren, wenn auch die Zieldaten publik sind, stellte er verkrampft. Sein Ziel ist es, Fehler zu finden, die es Angreifern zuteil werden lassen, Scraping-Beschränkungen zu umgehen und in größerem Umfang aufwärts Statistik zuzugreifen, denn es ein Produkt beabsichtigt.

„Unser Ziel ist es, Szenarien, die dasjenige Scraping zu Händen böswillige Akteure kostengünstiger zeugen könnten, schnell zu identifizieren und zu bekämpfen“, schrieb er. Nachdem bestem Wissen des Unternehmens ist dies dasjenige branchenweit erste Programmierfehler-Bounty-Sendung zum Löschen von Statistik.

Dies Fehlen einer angemessenen Ratenbegrenzung sei derzeit im Umfang des Programms enthalten, fuhr Gurfinkel fort, jedoch seine Bedingungen erlauben es Hackern nicht, den Datenzugriff und die Datensammlung zu automatisieren. Meta fördert die Exploration von Logikumgehungsproblemen, die es Angreifern zuteil werden lassen könnten, hoch unbeabsichtigte Mechanismen aufwärts Informationen zuzugreifen, wenn auch angemessene Ratenbegrenzungen gelten.

Ab dem 15. zwölfter Monat des Jahres belohnt dasjenige Meta-Programmierfehler-Bounty-Sendung Meldungen hoch ungeschützte oder publik zugängliche Datenbanken mit mindestens 100.000 eindeutigen Facebook-Benutzerdatensätzen mit personenbezogenen Statistik (PII) oder sensiblen Statistik wie E-Mail-Nachricht-Adressen, Telefonnummern, Anschriften oder religiöse oder politische Zugehörigkeit.

„Dieser gemeldete Eintragung muss einzigartig sein und darf Meta weder zuvor prestigeträchtig noch gemeldet werden“, schrieb Gurfinkel. “Wir wollen aus diesen Bemühungen lernen, damit wir den Umfang im Laufe welcher Zeit aufwärts kleinere Datensätze erweitern können.”

Wenn bestätigt wird, dass PII abgekratzt wurden und aufwärts einer Website äußerlich von Meta verfügbar sind, sagt dasjenige Unternehmen, dass es “an geeigneten Maßnahmen funktionieren” wird, z angesprochen. Wenn die Statistik z. B. aufgrund einer falsch konfigurierten Drittanbieteranwendung offengelegt werden, wird versucht, mit dem Entwickler zusammenzuarbeiten, um dasjenige Problem zu beheben.

Auszahlungen zu Händen Datensätze und Fehler
Die Belohnungen sowohl zu Händen dasjenige Programmierfehler-Bounty- denn ebenfalls zu Händen dasjenige Data-Bounty-Sendung basieren aufwärts welcher maximalen Wirkung jedes Berichts, mit einer Mindestprämie von 500 USD.

Z. Hd. die Scraping-Schwachstellen zahlt Meta Geldprämien zu Händen gültige Berichte aus, wie es in welcher Vergangenheit zu Händen die Einsendung von Programmierfehler-Bounty-Programmen welcher Kasus war. Nebst gekratzten Datensätzen sehen die Belohnungen jedoch irgendetwas divergent aus.

Gültige Berichte hoch gescrapte Datensätze werden mit einer Wohltätigkeitsspende an die gemeinnützige Organisation nachher Wahl welcher Forscher belohnt, „um sicherzustellen, dass wir keine Anreize zu Händen Scraping-Aktivitäten schaffen“, schrieb Gurfinkel. Meta passt jede Zulage an, sodass Forscher Datensätze suchen können, in welcher Sicherheit, dass sie mehr Geld zu Händen Zwecke verwenden, die ihnen wichtig sind.

Die heutige Nachricht markiert die neueste Erweiterung des Bugbounty-Programms von Meta seither seiner Lehrbuch im Jahr 2011. Seitdem hat dasjenige Sendung mehr denn 150.000 Meldungen erhalten, so dasjenige Unternehmen; mindestens 7.800 erhielten ein Kopfgeld. Gut Facebook hinaus deckt dasjenige Sendung Web- und mobile Clients zu Händen Apps wie Instagram, WhatsApp, Quest und Workplace unter anderem ab.

Mit Blick aufwärts die Zukunft plant dasjenige Unternehmen, seine Bemühungen zur Bildung welcher nächsten Generation von Hackern mit seiner ersten BountyConEDU, einer in Madrid ansässigen Kongress zu Händen Universitätsstudenten in ganz Europa, zu verstärken.