Հիմնական տանողներ
- Meta-ն ընդլայնել է իր bug bounty ծրագիրը՝ ամրապնդելու իր հարթակը և օգտվողներին տվյալների քերիչների դեմ:
- Տվյալների քերծումը հանգեցրել է նրան, որ հաքերները անցյալում հավաքել են ավելի քան 300 միլիոն օգտատերերի տեղեկատվություն:
-
Մետան պնդում է, որ դա առաջինն է, որը պարգևատրում է հետազոտողներին տվյալների հավաքագրման գործում իրենց աջակցության համար:
Կզարմացնե՞ք, եթե իմանաք, որ ավտոմատացված ծրագրերը տարածում են սոցիալական մեդիա հարթակներ, ինչպիսին է Facebook-ը, որպեսզի հավաքեն հանրությանը հասանելի ցանկացած տեղեկատվություն և դրանք համադրեն տվյալների շտեմարաններում: Տեղեկատվության առանձին մասերը կարող են մեծ օգուտ չտալ, բայց դրանք միասին կարող են թույլ տալ հաքերներին կատարել բոլոր տեսակի թվային հանցագործություններ, ինչպիսիք են հավատարմագրերի գողությունը և ֆիշինգի հարձակումները:Եվ Մետային բավական է դա:
Չնայած սոցիալական ցանցն ինքն է քայլեր ձեռնարկում այս ավտոմատացված ծրագրերը, որոնք կոչվում են քերիչներ, որսալու և սահմանափակելու համար, հարթակը այժմ որոշել է դիմել անվտանգության անկախ հետազոտողների օգնությանը՝ ընդլայնելով իր սխալների պարգևավճարի ծրագրերը: Դրա նպատակն է ոչ միայն շտկել սխալները, որոնք արտահոսում են իր օգտատերերի մասին նման մանրամասներ, այլ նաև օգնել գտնել այնպիսի տվյալների շտեմարաններ, որոնք պարունակում են քերծված տեղեկատվություն:
«Սխալների պարգևավճարի ծրագիրը կօգնի լրացնել «Facebook»-ի պաշտպանության բացերը քերծումից և զգուշացնել Meta-ին համացանցում հայտնված քերծված տվյալների բազաների մասին»,- Lifewire-ին էլփոստով հայտնել է Փոլ Բիշոֆը, գաղտնիության պաշտպան և Comparitech հետազոտական ընկերության խմբագիր Փոլ Բիշոֆը:.
Քերման սպառնալիք
Meta-ն քերծվածքն անվանեց «համացանցային մարտահրավեր», քանի որ հայտարարեց իր bug bounty ծրագրի ընդլայնման մասին, որն ի սկզբանե նախագծված էր ծրագրային ապահովման թերությունները գտնելու կոդի մեջ, որն ապահովում է հարթակը:
Ըստ Բիշոֆի, շատ հարթակներ արգելել են քերիչների օգտագործումը, նույնիսկ այն տեղեկատվության համար, որ նրանք ունեն, որոնք հասանելի են հանրությանը: Դա պայմանավորված է նրանով, որ անձամբ ճանաչելի տեղեկությունները (PII), ինչպիսիք են օգտանունները, ծննդյան ամսաթվերը, էլփոստի հասցեները և գտնվելու վայրը, հաճախ օգտագործվում են վատ դերակատարների կողմից՝ սոցիալական ինժեներական մշակված արշավներում օգտատերերին թիրախավորելու համար:
Սխալների պարգևավճար ծրագիրը կօգնի լրացնել Facebook-ի պաշտպանության բացերը քերծումից և զգուշացնել Meta-ին քերված տվյալների բազաների մասին…
Այնուամենայնիվ, Բիշոֆը ավելացնում է, որ Facebook-ը դժվարացել է տարբերակել քերիչներն ու օրինական օգտատերերը, ինչը նախկինում հանգեցրել է տվյալների հսկայական արտահոսքի: Նա մասնավորապես մատնանշում է արտահոսքը, որը հայտնվեց 2020 թվականի մարտին, երբ Comparitech-ը համագործակցեց անվտանգության հետազոտող Բոբ Դյաչենկոյի հետ և հայտնաբերեց տվյալների բազա, որը պարունակում էր Facebook-ի ավելի քան 300 միլիոն օգտատերերի օգտատերերի ID-ներ և հեռախոսահամարներ::
Սակայն քերելը բացարձակապես անօրինական չէ. լավագույն դեպքում այն գոյություն ունի տեխնո-իրավական գորշ տարածքում, քանի որ այն ունի նաև օրինական օգտագործում:
«Չնայած քերծումը հակասում է Facebook-ի օգտագործման պայմաններին, այն խիստ անօրինական չէ: Որոշ քերծող գործողություններ վնասակար են, բայց մյուսները ակադեմիական կամ լրագրողական են», - պարզաբանեց Բիշոֆը::
Պահանջվում է DOA
«Սխալների պարգևների» ծրագրի ընդլայնման մասին իր հայտարարության մեջ Facebook-ը նշեց, որ իր սկզբից ի վեր, bug bounty նախաձեռնությունը շնորհել է ավելի քան 800 պարգևներ՝ ավելի քան 2,3 միլիոն դոլար ընդհանուր առմամբ ավելի քան 46 երկրների հետազոտողների: «Նոր մարտահրավերներին» դիմակայելը, ինչպիսին է քերելը, ծրագրի բնական ընդլայնումն էր:
Չնայած քերծումը հակասում է Facebook-ի օգտագործման պայմաններին, այն խիստ անօրինական չէ:
Ըստ Meta-ի, bug bounty-ի ընդլայնված ծրագիրը կպարգևատրի անվտանգության հետազոտողներին երկու ուղղությամբ:
Մեկը, որպես սպառնալիքի դերակատարների համար քերծումը դժվարացնելու և «ավելի ծախսատար» դարձնելու իր անվտանգության ավելի մեծ ռազմավարության մաս, Meta-ն կպարգևատրի իր հարթակի սխալների մասին հաշվետվությունները, որոնք վատ դերակատարները կարող են օգտագործել՝ շրջանցելու այն խոչընդոտները, որոնք նա կանգնեցրել է քերծումը կանխելու համար:.
Երկրորդ, հարթակն ասաց, որ այն նաև կպարգևատրի տվյալների պարգևների որսորդներին, ովքեր իրեն կտեղեկացնեն առցանց հասանելի անպաշտպան տվյալների բազաների մասին, որոնք պարունակում են Facebook-ի առնվազն 100,000 եզակի օգտատերերի քերծված PII:
«Եթե մենք հաստատենք, որ օգտատիրոջ PII-ը քերծվել է և այժմ հասանելի է առցանց ոչ Meta կայքում, մենք կաշխատենք ձեռնարկել համապատասխան միջոցներ, որոնք կարող են ներառել համապատասխան կազմակերպության հետ աշխատել՝ տվյալների բազան հեռացնելու կամ օրինական միջոցներ փնտրելու համար: օգնելու ապահովել խնդրի լուծումը»,- նշել է Մետան հայտարարության մեջ։
Այն ավելացրեց, որ եթե քերծվածքը արտաքին ծրագրավորողի հավելվածի սխալ կազմաձևման պատճառով է, ապա հարթակը կաշխատի մշակողի հետ՝ արտահոսքը փակելու համար: Մյուս կողմից, այն նաև ջանքեր կգործադրի, որպեսզի համոզվի, որ հոսթինգի ծառայությունը, որտեղ հաքերները տեղավորել են քերված տվյալների բազան, վերացնի այն:
Սքրման պարգևները սկսվում են $500-ից, և թեև քերման սխալները պահանջում են դրամական վճարումներ, քերված տվյալների բազաների մասին տեղեկատվությունը կտրամադրվի բարեգործական նվիրատվությունների տեսքով լրագրողների ընտրած ոչ առևտրային կազմակերպություններին:
«Մեր իմացության համաձայն՝ սա արդյունաբերության մեջ վրիպակների վերացման առաջին ծրագիրն է», - ամփոփել է Մետան: «Մենք կաշխատենք արձագանքել մեր լավագույն պարգևների որսորդների արձագանքներին՝ նախքան շրջանակն ավելի մեծ լսարանի ընդլայնումը»:
