Bài học rút ra chính
- Meta đã mở rộng chương trình thưởng lỗi để củng cố nền tảng và người dùng của mình chống lại những kẻ phá dữ liệu.
- Việc thu thập dữ liệu đã dẫn đến việc tin tặc thu thập thông tin của hơn 300 triệu người dùng trong quá khứ.
-
Meta tuyên bố đây là người đầu tiên thưởng cho các nhà nghiên cứu vì sự giúp đỡ của họ trong lĩnh vực thu thập dữ liệu.
Bạn có ngạc nhiên khi biết rằng các chương trình tự động quét các nền tảng truyền thông xã hội như Facebook để thu thập bất kỳ thông tin nào có thể truy cập công khai và đối chiếu chúng bên trong cơ sở dữ liệu không? Các phần thông tin riêng lẻ có thể không được sử dụng nhiều, nhưng chúng cùng nhau có thể cho phép tin tặc thực hiện tất cả các loại tội phạm kỹ thuật số, chẳng hạn như trộm cắp thông tin xác thực và các cuộc tấn công lừa đảo. Và Meta đã có đủ điều đó.
Trong khi mạng xã hội tự thực hiện các bước để bắt và hạn chế các chương trình tự động được gọi là công cụ cào này, nền tảng hiện đã quyết định tranh thủ sự giúp đỡ của các nhà nghiên cứu bảo mật độc lập bằng cách mở rộng các chương trình tiền thưởng lỗi của nó. Mục tiêu của nó là không chỉ sửa các lỗi làm rò rỉ các chi tiết như vậy về người dùng mà còn giúp tìm ra các cơ sở dữ liệu chứa thông tin cóp nhặt.
"Chương trình tiền thưởng lỗi sẽ giúp lấp đầy những lỗ hổng trong khả năng phòng vệ của Facebook trước việc cạo và cảnh báo Meta về các cơ sở dữ liệu đã được cạo xuất hiện trên web", Paul Bischoff, người ủng hộ quyền riêng tư và là biên tập viên của cơ quan nghiên cứu Infosec Comparitech, nói với Lifewire qua email.
Sự đe dọa của Scraping
Meta gọi việc cạo là một "thách thức trên toàn internet" khi công bố mở rộng chương trình tiền thưởng lỗi, chương trình này ban đầu được thiết kế để tìm lỗi phần mềm trong mã cung cấp năng lượng cho nền tảng.
Theo Bischoff, nhiều nền tảng đã đặt ra ngoài vòng pháp luật việc sử dụng những kẻ phá hoại, ngay cả đối với những thông tin mà họ nắm giữ có thể truy cập công khai. Đó là bởi vì thông tin nhận dạng cá nhân (PII), chẳng hạn như tên người dùng, ngày sinh, địa chỉ email và vị trí, thường bị những kẻ xấu sử dụng để nhắm mục tiêu người dùng trong các chiến dịch kỹ thuật xã hội phức tạp.
Chương trình tiền thưởng lỗi sẽ giúp lấp đầy những lỗ hổng trong khả năng phòng thủ của Facebook trước việc loại bỏ và cảnh báo Meta về các cơ sở dữ liệu bị loại bỏ…
Tuy nhiên, Bischoff cho biết thêm rằng Facebook đã phải vật lộn để phân biệt giữa những người cóp nhặt và người dùng hợp pháp, điều này đã dẫn đến việc rò rỉ dữ liệu lớn trong quá khứ. Ông đặc biệt chỉ ra vụ rò rỉ xuất hiện vào tháng 3 năm 2020 khi Comparitech hợp tác với nhà nghiên cứu bảo mật Bob Diachenko và phát hiện ra một cơ sở dữ liệu chứa ID người dùng và số điện thoại của hơn 300 triệu người dùng Facebook.
Nhưng cạo hoàn toàn không phải là bất hợp pháp - tốt nhất nó tồn tại trong một khu vực màu xám hợp pháp về công nghệ vì nó cũng có những mục đích sử dụng hợp pháp.
"Mặc dù việc cạo mủ là trái với các điều khoản sử dụng của Facebook, nó không hoàn toàn là bất hợp pháp. Một số hoạt động cạo là độc hại, nhưng những hoạt động khác là mang tính học thuật hoặc báo chí", Bischoff nói rõ.
DOA muốn
Trong thông báo về việc mở rộng chương trình tiền thưởng lỗi, Facebook đã đề cập rằng kể từ khi thành lập, sáng kiến tiền thưởng lỗi đã trao hơn 800 tiền thưởng, tổng trị giá hơn 2,3 triệu đô la cho các nhà nghiên cứu từ hơn 46 quốc gia. Giải quyết "những thách thức mới" như cạo vôi là một phần mở rộng tự nhiên của chương trình.
Mặc dù việc cạo mủ là vi phạm các điều khoản sử dụng của Facebook, nó không hoàn toàn là bất hợp pháp.
Theo Meta, chương trình tiền thưởng lỗi mở rộng sẽ thưởng cho các nhà nghiên cứu bảo mật trên hai mặt.
Một, là một phần của chiến lược bảo mật lớn hơn nhằm làm cho việc cạo khó hơn và "tốn kém hơn" cho các tác nhân đe dọa, Meta sẽ trao các báo cáo về các lỗi trong nền tảng của mình mà những kẻ xấu có thể khai thác để vượt qua các rào cản mà nó đã dựng lên để ngăn cản việc cạo.
Thứ hai, nền tảng cho biết họ cũng sẽ trao thưởng cho những người săn tiền thưởng dữ liệu thông báo cho nó về cơ sở dữ liệu không được bảo vệ có sẵn trực tuyến chứa PII cóp nhặt của ít nhất 100.000 người dùng Facebook duy nhất.
"Nếu chúng tôi xác nhận rằng PII của người dùng đã bị loại bỏ và hiện có sẵn trực tuyến trên một trang web không phải Meta, chúng tôi sẽ làm việc để thực hiện các biện pháp thích hợp, có thể bao gồm làm việc với pháp nhân có liên quan để xóa tập dữ liệu hoặc tìm kiếm các biện pháp pháp lý để giúp đảm bảo vấn đề được giải quyết ", Meta lưu ý trong thông báo.
Nó nói thêm rằng nếu lỗi do cấu hình sai trong ứng dụng của một nhà phát triển bên ngoài, nền tảng sẽ làm việc với nhà phát triển để ngăn chặn sự rò rỉ. Mặt khác, nó cũng sẽ nỗ lực để đảm bảo rằng dịch vụ lưu trữ nơi tin tặc đã lưu trữ cơ sở dữ liệu đã được cạo sửa sẽ gỡ nó xuống.
Phần thưởng cho số tiền thưởng cạo bắt đầu ở mức 500 đô la và trong khi việc cạo lỗi đòi hỏi các khoản thanh toán bằng tiền, thông tin về cơ sở dữ liệu cóp nhặt sẽ được trao dưới hình thức quyên góp từ thiện cho các tổ chức phi lợi nhuận theo lựa chọn của các phóng viên.
"Theo hiểu biết tốt nhất của chúng tôi, đây là chương trình quay thưởng lỗi đầu tiên trong ngành," Meta tóm tắt. "Chúng tôi sẽ làm việc để giải quyết phản hồi từ những thợ săn tiền thưởng hàng đầu của chúng tôi trước khi mở rộng phạm vi tới nhiều đối tượng hơn."