ซื้อกลับบ้านที่สำคัญ
- Meta ได้ขยายโปรแกรม Bounty Bounty เพื่อเสริมความแข็งแกร่งให้กับแพลตฟอร์มและผู้ใช้จาก data scrapers
- การขูดข้อมูลทำให้แฮกเกอร์รวบรวมข้อมูลของผู้ใช้กว่า 300 ล้านคนในอดีต
-
Meta อ้างว่าเป็นคนแรกที่ให้รางวัลแก่นักวิจัยสำหรับความช่วยเหลือในการขูดข้อมูล
มันทำให้คุณประหลาดใจไหมที่รู้ว่าโปรแกรมอัตโนมัติกวาดล้างแพลตฟอร์มโซเชียลมีเดียเช่น Facebook เพื่อรวบรวมข้อมูลที่เข้าถึงได้แบบสาธารณะและจัดเรียงข้อมูลภายในฐานข้อมูล ข้อมูลแต่ละส่วนอาจไม่มีประโยชน์มากนัก แต่เมื่อรวมเข้าด้วยกันจะช่วยให้แฮกเกอร์สามารถก่ออาชญากรรมทางดิจิทัลได้ทุกประเภท เช่น การขโมยข้อมูลประจำตัวและการโจมตีแบบฟิชชิ่งและ Meta ก็เพียงพอแล้ว
ในขณะที่โซเชียลเน็ตเวิร์กกำลังดำเนินการตามขั้นตอนเพื่อจับและตัดทอนโปรแกรมอัตโนมัติเหล่านี้ที่เรียกว่าแครปเปอร์ ตอนนี้แพลตฟอร์มได้ตัดสินใจขอความช่วยเหลือจากนักวิจัยด้านความปลอดภัยอิสระด้วยการขยายโปรแกรมให้รางวัลบั๊ก เป้าหมายคือไม่เพียงแค่แก้ไขจุดบกพร่องที่ทำให้รายละเอียดดังกล่าวรั่วไหลเกี่ยวกับผู้ใช้ แต่ยังช่วยค้นหาฐานข้อมูลดังกล่าวที่เก็บข้อมูลที่คัดลอกมา
"โปรแกรม Bug Bounty จะช่วยอุดช่องว่างในการป้องกันของ Facebook จากการขูดและเตือน Meta ไปยังฐานข้อมูลที่คัดลอกมาซึ่งปรากฏบนเว็บ" Paul Bischoff ผู้สนับสนุนความเป็นส่วนตัวและบรรณาธิการของ Infosec Research Outlet Comparitech กล่าวกับ Lifewire ทางอีเมล.
ภัยคุกคามที่ขูดรีด
Meta เรียกการขูดเป็น "ความท้าทายทั่วทั้งอินเทอร์เน็ต" เนื่องจากได้ประกาศการขยายโปรแกรมให้รางวัลบั๊ก ซึ่งเดิมได้รับการออกแบบมาเพื่อค้นหาข้อบกพร่องของซอฟต์แวร์ในโค้ดที่ขับเคลื่อนแพลตฟอร์ม
จากข้อมูลของ Bischoff หลายแพลตฟอร์มได้ออกกฎหมายการใช้เครื่องขูด แม้กระทั่งสำหรับข้อมูลที่สามารถเข้าถึงได้โดยสาธารณะ นั่นเป็นเพราะว่าข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้ (PII) เช่น ชื่อผู้ใช้ วันเกิด ที่อยู่อีเมล และตำแหน่ง มักถูกใช้โดยผู้ไม่หวังดีเพื่อกำหนดเป้าหมายผู้ใช้ในแคมเปญวิศวกรรมสังคมที่ซับซ้อน
โปรแกรมให้รางวัลบั๊กจะช่วยอุดช่องว่างในการป้องกันของ Facebook จากการขูดและเตือน Meta ไปยังฐานข้อมูลที่คัดลอกมา…
อย่างไรก็ตาม Bischoff เสริมว่า Facebook ได้พยายามแยกความแตกต่างระหว่างเครื่องขูดและผู้ใช้ที่ถูกกฎหมาย ซึ่งส่งผลให้ข้อมูลรั่วไหลจำนวนมากในอดีต เขาชี้เฉพาะถึงการรั่วไหลที่เกิดขึ้นในเดือนมีนาคม 2020 เมื่อ Comparitech ร่วมมือกับนักวิจัยด้านความปลอดภัย Bob Diachenko และค้นพบฐานข้อมูลที่มี ID ผู้ใช้และหมายเลขโทรศัพท์ของผู้ใช้ Facebook กว่า 300 ล้านคน
แต่การขูดไม่ได้ผิดกฎหมายโดยสิ้นเชิง อย่างดีที่สุดก็คือมันอยู่ในพื้นที่สีเทาของเทคโน-กฎหมายเพราะมันมีการใช้งานที่ถูกต้องตามกฎหมายเช่นกัน
"แม้ว่าการขูดจะขัดต่อเงื่อนไขการใช้งานของ Facebook แต่ก็ไม่ได้ผิดกฎหมายอย่างเด็ดขาด การดำเนินการขูดบางอย่างเป็นอันตราย แต่ส่วนอื่นๆ เป็นวิชาการหรือนักข่าว" Bischoff ชี้แจง
ต้องการ DOA
ในการประกาศการขยายโปรแกรม Bug Bounty นั้น Facebook กล่าวว่าตั้งแต่เริ่มก่อตั้ง โครงการ Bug Bounty ได้มอบเงินรางวัลกว่า 800 รางวัล รวมเป็นเงินกว่า 2.3 ล้านเหรียญสหรัฐให้กับนักวิจัยจากกว่า 46 ประเทศ การจัดการกับ "ความท้าทายใหม่" เช่น การขูดเป็นส่วนขยายตามธรรมชาติของโปรแกรม
แม้ว่าการขูดจะขัดต่อเงื่อนไขการใช้งานของ Facebook แต่ก็ไม่ได้ผิดกฎหมายอย่างร้ายแรง
ตาม Meta นั้น โปรแกรมให้รางวัลบั๊กแบบขยายจะให้รางวัลแก่นักวิจัยด้านความปลอดภัยในสองด้าน
หนึ่ง ซึ่งเป็นส่วนหนึ่งของกลยุทธ์ด้านความปลอดภัยที่ใหญ่ขึ้นเพื่อทำให้การขูดหินปูนยากขึ้นและ "แพงขึ้น" สำหรับผู้คุกคาม Meta จะมอบรายงานเกี่ยวกับข้อบกพร่องในแพลตฟอร์มของตนที่ผู้ไม่หวังดีสามารถใช้ประโยชน์จากการข้ามอุปสรรคที่สร้างขึ้นเพื่อยับยั้งการขูดขีด.
ประการที่สอง แพลตฟอร์มกล่าวว่าจะให้รางวัลแก่นักล่าเงินรางวัลข้อมูลที่แจ้งเกี่ยวกับฐานข้อมูลที่ไม่มีการป้องกันทางออนไลน์ซึ่งมี PII ที่คัดลอกมาจากผู้ใช้ Facebook ที่ไม่ซ้ำกันอย่างน้อย 100,000 คน
"หากเรายืนยันว่า PII ของผู้ใช้ถูกคัดลอกและขณะนี้พร้อมใช้งานออนไลน์บนไซต์ที่ไม่ใช่ Meta เราจะดำเนินการตามมาตรการที่เหมาะสม ซึ่งอาจรวมถึงการทำงานร่วมกับหน่วยงานที่เกี่ยวข้องเพื่อลบชุดข้อมูลหรือค้นหาวิธีการทางกฎหมาย เพื่อช่วยให้แน่ใจว่าปัญหาได้รับการแก้ไขแล้ว " Meta ระบุไว้ในประกาศ
มันเสริมว่าหากการขูดเกิดจากการกำหนดค่าที่ไม่ถูกต้องในแอปพลิเคชันของนักพัฒนาภายนอก แพลตฟอร์มจะทำงานร่วมกับนักพัฒนาเพื่ออุดรอยรั่ว ในทางกลับกัน มันจะพยายามตรวจสอบให้แน่ใจว่าบริการโฮสติ้งที่แฮ็กเกอร์เก็บฐานข้อมูลที่คัดลอกมานั้นจะหยุดทำงาน
รางวัลสำหรับค่าหัวในการขูดเริ่มต้นที่ $500 และในขณะที่ข้อผิดพลาดในการขูดทำให้เกิดการจ่ายเงิน ข้อมูลเกี่ยวกับฐานข้อมูลที่คัดลอกมาจะมอบให้ในรูปแบบของการบริจาคเพื่อการกุศลให้กับองค์กรไม่แสวงหาผลกำไรที่นักข่าวเลือก
"เพื่อเป็นความรู้ที่ดีที่สุดของเรา นี่เป็นโปรแกรมขูดจุดบั๊กโปรแกรมแรกในอุตสาหกรรม " Meta สรุป "เราจะทำงานเพื่อแก้ไขข้อเสนอแนะจากนักล่าเงินรางวัลชั้นนำของเราก่อนที่จะขยายขอบเขตไปยังผู้ชมที่มากขึ้น"
