Tärkeimmät oppimispisteet
- Meta on laajentanut bug bounty -ohjelmaa vahvistaakseen alustaansa ja käyttäjiään tietojen kaavinta vastaan.
- Tietojen kaapiminen on saanut hakkerit keräämään tietoja yli 300 miljoonalta käyttäjältä aiemmin.
- Meta väittää olevansa ensimmäinen, joka palkitsee tutkijoita heidän avustaan tiedon keräämisessä.
Olisiko yllättävää tietää, että automatisoidut ohjelmat hankaloivat Facebookin kaltaisia sosiaalisen median alustoja kerätäkseen julkisesti saatavilla olevaa tietoa ja koottavan ne tietokantoiksi? Yksittäisistä tiedoista ei välttämättä ole paljon hyötyä, mutta yhdessä ne voivat antaa hakkereille mahdollisuuden tehdä erilaisia digitaalisia rikoksia, kuten valtuustietovarkauksia ja tietojenkalasteluhyökkäyksiä. Ja Meta on saanut tarpeekseen. Samalla kun sosiaalinen verkosto itse ryhtyy toimenpiteisiin näiden automaattisten ohjelmien, joita kutsutaan scrapereiksi, kaappaamiseksi ja hillitsemiseksi, alusta on nyt päättänyt pyytää riippumattomia tietoturvatutkijoita laajentamaan bugipalkkio-ohjelmiaan. Sen tarkoituksena ei ole vain korjata bugeja, jotka vuotavat tietoja käyttäjistä, vaan myös auttaa löytämään sellaisia tietokantoja, jotka sisältävät kaavittua tietoa. «Virhepalkkio-ohjelma auttaa täyttämään aukot Facebookin suojautumisessa kaapimista vastaan ja varoittamaan Metaa netissä ilmestyvistä kaavituista tietokannoista», Paul Bischoff, tietosuojalakimies ja Infosecin tutkimusyhtiö Comparitechin toimittaja, kertoi sähköpostitse Lifewirelle.
Raapimisen uhka
Meta kutsui kaappaamista «internetin laajuiseksi haasteeksi», kun se ilmoitti laajentavansa bug bounty -ohjelmaa, joka oli alun perin suunniteltu etsimään ohjelmisto-ongelmia alustaa käyttävästä koodista. Bischoffin mukaan monet alustat ovat kieltäneet kaavinten käytön jopa niiden sisältämien julkisesti saatavilla olevien tietojen vuoksi. Tämä johtuu siitä, että pahantahtoiset osapuolet käyttävät usein henkilökohtaisia tunnistetietoja (PII), kuten käyttäjänimiä, syntymäpäiviä, sähköpostiosoitteita ja sijaintia, kohdistaakseen käyttäjiä monimutkaisissa manipulointikampanjoissa. Bug bounty -ohjelma auttaa täyttämään aukkoja Facebookin suojautumisessa kaapimista vastaan ja varoittamaan Metaa kaavituista tietokannoista… Bischoff kuitenkin lisää, että Facebookilla on ollut vaikeuksia erottaa toisistaan kaapijat ja lailliset käyttäjät, mikä on johtanut massiivisiin tietomurtoihin mennyt. Hän viittaa erityisesti vuotoon, joka paljastui maaliskuussa 2020, kun Comparitech teki yhteistyötä tietoturvatutkijan kanssa. Bob Diachenkoja löysi tietokannan, joka sisälsi yli 300 miljoonan Facebook-käyttäjän käyttäjätunnukset ja puhelinnumerot. Mutta kaapiminen ei ole täysin laitonta – se on parhaimmillaan teknis-lain harmaalla alueella, koska sillä on myös laillisia käyttötarkoituksia. «Vaikka kaapiminen rikkoo Facebookin käyttöehtoja, se ei ole täysin laitonta. Jotkut kaavintatoiminnot ovat haitallisia, mutta toiset ovat akateemisia tai journalistisia», Bischoff selventää.
Halusin DOA:n
Ilmoittaessaan bug bounty -ohjelman laajentamisesta Facebook mainitsi, että bug bounty -aloite on jakanut yli 800 palkkiota sen perustamisesta lähtien, yhteensä yli 2,3 miljoonaa dollaria tutkijoille yli 46 maasta. «Uusiin haasteisiin», kuten kaavinta, vastaaminen oli ohjelman luonnollinen jatko. Vaikka kaapiminen on Facebookin käyttöehtojen vastaista, se ei ole ehdottomasti laitonta. Metan mukaan kattava bug bounty -ohjelma palkitsee tietoturvatutkijat kahdella rintamalla. Ensinnäkin osana laajempaa turvallisuusstrategiaansa tehdäkseen kaapimisesta vaikeampaa ja «kallimpaa» uhkatoimijoille Meta julkaisee raportteja alustassaan olevista vioista, joita huonot toimijat voivat hyödyntää kiertääkseen esteitä, joita se on asettanut raapimisen estämiseksi. Toiseksi alusta sanoi, että se palkitsee myös datapalkkionmetsästäjät, jotka ilmoittavat sille verkossa saatavilla olevista suojaamattomista tietokannoista, jotka sisältävät vähintään 100 000 Facebookin yksittäisen käyttäjän henkilökohtaisia tunnistetietoja. «Jos vahvistamme, että käyttäjän henkilökohtaiset tunnistetiedot on kaavittu ja ne ovat nyt saatavilla verkossa ei-Meta-sivustolla, ryhdymme tarvittaviin toimiin, joihin voi kuulua yhteistyö asianomaisen tahon kanssa tietojoukon poistamiseksi tai oikeussuojakeinojen etsiminen ongelman estämiseksi. on osoitettu», Meta totesi tiedotteessa.
Se lisäsi, että jos kaapiminen johtui kolmannen osapuolen kehittäjän sovelluksen virheellisestä määrityksestä, alusta tekee yhteistyötä kehittäjän kanssa vuodon korjaamiseksi. Toisaalta se pyrkii myös varmistamaan, että isännöintipalvelu, jossa hakkerit säilyttivät kaavitun tietokannan, vie sen offline-tilaan. Kaavinpalkkioiden palkkiot alkavat 500 dollarista, ja vaikka raapumisvirheistä maksetaan rahallisia maksuja, tiedot kerätyistä tietokannoista myönnetään hyväntekeväisyyslahjoituksina toimittajien valitsemille järjestöille. «Tietojemme mukaan tämä on alan ensimmäinen kaavinta bugipalkkioohjelma», Meta tiivisti. «Työskentelemme parhaiden palkkionmetsästäjiemme palautetta ennen kuin laajennamme laajempaa yleisöä.»