Key Takeaway
- Meta telah mengembangkan program hadiah pepijatnya untuk mengukuhkan platform dan penggunanya daripada pengikis data.
- Pengikisan data telah menyebabkan penggodam mengumpul maklumat lebih 300 juta pengguna pada masa lalu.
-
Meta mendakwa ia adalah yang pertama memberi ganjaran kepada penyelidik atas bantuan mereka untuk menguasai pengikisan data.
Adakah anda terkejut apabila mengetahui bahawa program automatik menyapu platform media sosial seperti Facebook untuk mengumpulkan sebarang maklumat yang boleh diakses secara umum dan mengumpulkannya di dalam pangkalan data? Maklumat individu mungkin tidak banyak digunakan, tetapi bersama-sama ia boleh membolehkan penggodam melakukan semua jenis jenayah digital, seperti pencurian kelayakan dan serangan pancingan data. Dan Meta sudah cukup dengannya.
Walaupun rangkaian sosial itu sendiri mengambil langkah untuk menangkap dan menyekat program automatik ini yang dipanggil pengikis, platform kini telah memutuskan untuk mendapatkan bantuan penyelidik keselamatan bebas dengan mengembangkan program hadiah pepijatnya. Matlamatnya bukan sahaja untuk membetulkan pepijat yang membocorkan butiran sedemikian tentang penggunanya tetapi juga untuk membantu mencari pangkalan data sedemikian yang menyimpan maklumat yang dikikis.
"Program karunia pepijat akan membantu mengisi kekosongan pertahanan Facebook daripada mengikis dan memaklumkan Meta kepada pangkalan data yang dikikis yang muncul di web," Paul Bischoff, peguam bela privasi dan editor pusat penyelidikan Infosec Comparitech, memberitahu Lifewire melalui e-mel.
Ancaman Mengikis
Meta merujuk mengikis sebagai "cabaran seluruh internet" kerana ia mengumumkan pengembangan program hadiah pepijatnya, yang pada mulanya direka bentuk untuk mencari gangguan perisian dalam kod yang menggerakkan platform.
Menurut Bischoff, banyak platform telah melarang penggunaan pengikis, walaupun untuk maklumat yang mereka pegang yang boleh diakses secara umum. Ini kerana maklumat pengenalan peribadi (PII), seperti nama pengguna, tarikh lahir, alamat e-mel dan lokasi, sering digunakan oleh pelaku jahat untuk menyasarkan pengguna dalam kempen kejuruteraan sosial yang terperinci.
Program hadiah pepijat akan membantu mengisi jurang dalam pertahanan Facebook daripada mengikis dan memberi amaran kepada Meta untuk pangkalan data yang dikikis…
Walau bagaimanapun, Bischoff menambah bahawa Facebook telah bergelut untuk membezakan antara pengikis dan pengguna yang sah, yang telah mengakibatkan kebocoran data yang besar pada masa lalu. Beliau secara khusus menunjukkan kebocoran yang timbul pada Mac 2020 apabila Comparitech bekerjasama dengan penyelidik keselamatan Bob Diachenko, dan menemui pangkalan data yang mengandungi ID pengguna dan nombor telefon lebih 300 juta pengguna Facebook.
Tetapi mengikis tidak langsung menyalahi undang-undang-paling baik ia wujud di kawasan kelabu tekno-legal kerana ia juga mempunyai kegunaan yang sah.
"Walaupun mengikis bertentangan dengan syarat penggunaan Facebook, ia tidak sepenuhnya menyalahi undang-undang. Sesetengah operasi mengikis berniat jahat, tetapi yang lain adalah akademik atau kewartawanan, " jelas Bischoff.
Dapatkan DOA
Dalam pengumumannya tentang pengembangan program hadiah pepijat, Facebook menyebut bahawa sejak penubuhannya, inisiatif hadiah pepijat telah menganugerahkan lebih 800 hadiah, berjumlah lebih $2.3 juta kepada penyelidik dari lebih 46 negara. Menangani "cabaran baharu" seperti mengikis merupakan lanjutan semula jadi program ini.
Walaupun mengikis bertentangan dengan syarat penggunaan Facebook, ia tidak menyalahi undang-undang sepenuhnya.
Menurut Meta, program hadiah pepijat yang diperluaskan akan memberi ganjaran kepada penyelidik keselamatan dalam dua bahagian.
Satu, sebagai sebahagian daripada strategi keselamatannya yang lebih besar untuk menjadikan pengikisan lebih sukar dan "lebih mahal" bagi pelakon ancaman, Meta akan memberikan laporan tentang pepijat dalam platformnya yang boleh dieksploitasi oleh pelakon jahat untuk memintas halangan yang didirikan untuk menghalang pengikisan.
Kedua, platform itu berkata ia juga akan menganugerahkan pemburu hadiah data yang memaklumkannya tentang pangkalan data tidak dilindungi yang tersedia dalam talian yang mengandungi PII yang dikikis sekurang-kurangnya 100, 000 pengguna Facebook unik.
"Jika kami mengesahkan bahawa PII pengguna telah dikikis dan kini tersedia dalam talian di tapak bukan Meta, kami akan berusaha untuk mengambil langkah yang sesuai, yang mungkin termasuk bekerjasama dengan entiti yang berkaitan untuk mengalih keluar set data atau mencari cara undang-undang untuk membantu memastikan isu itu ditangani, " Meta dicatat dalam pengumuman.
Ia menambah bahawa jika goresan itu disebabkan oleh salah konfigurasi dalam aplikasi pembangun luaran, platform akan bekerjasama dengan pembangun untuk memasangkan kebocoran. Sebaliknya, ia juga akan berusaha untuk memastikan perkhidmatan pengehosan di mana penggodam telah menempatkan pangkalan data yang dikikis menghapuskannya.
Ganjaran untuk hadiah mengikis bermula pada $500, dan sementara pepijat mengikis memerlukan pembayaran kewangan, maklumat tentang pangkalan data yang dikikis akan diberikan dalam bentuk sumbangan amal kepada organisasi bukan untung yang dipilih oleh wartawan.
"Untuk pengetahuan kami yang terbaik, ini ialah program hadiah pepijat mengikis pertama dalam industri, " Meta merumuskan. "Kami akan berusaha untuk menangani maklum balas daripada pemburu hadiah terbaik kami sebelum mengembangkan skop kepada khalayak yang lebih besar."