Kısa süre önce Facebook’tan yeniden markalaşan Meta, bugün, sözde kazıma hataları ve kazınmış veritabanlarının geçerli raporlarını sırasıyla parasal tazminat ve eşleşen yardım bağışlarıyla ödüllendirmek için hata ödül ve veri ödül programlarının genişletildiğini duyurdu.
Hareket, her türlü web sitesi ve hizmet için tehdit oluşturan genel ve özel verileri sıyırmak için tasarlanmış saldırı faaliyeti riskini ele almak içindir. Kötü amaçlı uygulamalar, web siteleri ve komut dosyaları gibi kazıyıcılar, tespit edilmekten kaçınmak için sürekli olarak güncellenmektedir; Güvenlik mühendisliği müdürü Dan Gurfinkel, bir röportajda, buradaki fikir, süreci saldırganlar için daha zor ve daha pahalı hale getirmektir, dedi. Blog yazısı.
Programlar, Meta’nın Gold+ HackerPlus araştırmacıları için özel bir ödül yolu olarak başlayacak. Şirket, hedeflenen veriler halka açık olsa bile kazıma yöntemleri raporlarını ödüllendireceğini kaydetti. Amacı, saldırganların kazıma sınırlamalarını atlamasına ve bir ürünün amaçlanandan daha büyük bir ölçekte verilere erişmesine izin veren hataları bulmaktır.
“Amacımız, kötü niyetli aktörlerin yürütmesi için kazımayı daha az maliyetli hale getirebilecek senaryoları hızlı bir şekilde belirlemek ve bunlara karşı koymaktır” diye yazdı. Şirketin bildiği kadarıyla, bu endüstrinin ilk veri kazıma hata ödül programıdır.
Gurfinkel, uygun hız sınırlamasının şu anda programın kapsamına dahil edildiğini, ancak koşullarının bilgisayar korsanlarının veri erişimini ve toplamasını otomatikleştirmesine izin vermediğini sözlerine ekledi. Meta, uygun hız sınırları mevcut olsa bile, saldırganların denetimsiz mekanizmalar aracılığıyla bilgilere erişmesine olanak verebilecek mantık atlama sorunlarına yönelik araştırmaları teşvik ediyor.
15 Aralık’tan itibaren Meta’nın hata ödül programı, kişisel olarak tanımlanabilir bilgiler (PII) veya e-posta adresleri, telefon numaraları, fiziksel adresler veya e-posta adresleri gibi hassas verilerle en az 100.000 benzersiz Facebook kullanıcı kaydı içeren korumasız veya herkese açık veritabanlarının raporlarını ödüllendirecek. dini veya siyasi ilişkiler.
Gurfinkel, “Bildirilen veri kümesi benzersiz olmalı ve daha önce bilinmemeli veya Meta’ya bildirilmemelidir.” “Bu çabadan öğrenmeyi hedefliyoruz, böylece kapsamı zamanla daha küçük veri kümelerine genişletebiliriz.”
PII’nin kazındığı ve Meta dışındaki bir web sitesinde bulunduğu doğrulanırsa, şirket, web sitesinin sahibiyle veri kümesini kaldırmak için çalışmak veya sorunun çözüldüğünden emin olmak için yasal işlem yapmak gibi “uygun önlemleri almak için çalışacağını” söylüyor. ele alinan. Örneğin, yanlış yapılandırılmış bir üçüncü taraf uygulaması nedeniyle veriler açığa çıkarsa, sorunu azaltmak için geliştiriciyle birlikte çalışmaya çalışacaktır.
Veri Kümeleri ve Kusurlar için Ödemeler
Hem hata ödülü hem de veri ödülü programı için ödüller, her bir raporun maksimum etkisine dayalı olacak ve minimum ödül 500 ABD doları olacaktır.
Scraping güvenlik açıkları için Meta, geçmişte hata ödül programı gönderimleri için yaptığı gibi, geçerli raporlar için parasal ödüller ödeyecek. Bununla birlikte, kazınmış veri kümeleri için ödüller biraz farklı görünüyor.
Gurfinkel, kazınmış veri kümelerinin geçerli raporları, araştırmacıların “kazıma faaliyetini teşvik etmememizi sağlamak için” seçtiği kar amacı gütmeyen kuruluşa bir hayır kurumu bağışı ile ödüllendirileceğini yazdı. Meta her ödülle eşleşecek, böylece araştırmacılar, kendileri için önemli olan nedenlere daha fazla para yönlendireceklerini bilerek veri kümelerini avlayabilirler.
Bugünkü haberler Meta’nın bugbounty programının 2011’de piyasaya sürülmesinden bu yana en son genişlemesine işaret ediyor. O zamandan beri program 150.000’den fazla rapor aldı, şirket diyor ki; en az 7.800 ödül verildi. Program, Facebook’un ötesinde, Instagram, WhatsApp, Quest ve Workplace gibi uygulamalardaki Web ve mobil istemcileri kapsar.
İleriye bakmak, şirket planları Avrupa çapında üniversite öğrencileri için oluşturulan Madrid merkezli bir konferans olan BountyConEDU ile yeni nesil bilgisayar korsanlarını eğitme çabalarını hızlandırmak.