الوجبات الجاهزة الرئيسية
- وسعت Meta برنامج مكافآت الأخطاء لتحصين منصتها ومستخدميها ضد كاشطات البيانات.
- أدى تجريف البيانات إلى قيام المتسللين بتجميع معلومات أكثر من 300 مليون مستخدم في الماضي.
-
تدعي Meta أنها أول من يكافئ الباحثين على مساعدتهم للسيطرة على جمع البيانات.
هل يفاجئك معرفة أن البرامج الآلية تكتسح منصات الوسائط الاجتماعية مثل Facebook لجمع أي معلومات يمكن الوصول إليها للجمهور وجمعها داخل قواعد البيانات؟ قد لا تكون المعلومات الفردية ذات فائدة كبيرة ، ولكنها مجتمعة يمكن أن تمكن المتسللين من ارتكاب جميع أنواع الجرائم الرقمية ، مثل سرقة بيانات الاعتماد وهجمات التصيد الاحتيالي.واكتفت ميتا منه
بينما تتخذ الشبكة الاجتماعية نفسها خطوات للقبض على هذه البرامج الآلية المسماة الكاشطات والحد منها ، قررت المنصة الآن الاستعانة بباحثين أمنيين مستقلين من خلال توسيع برامج مكافآت الأخطاء الخاصة بها. هدفها ليس فقط إصلاح الأخطاء التي تسرّب مثل هذه التفاصيل حول مستخدميها ولكن أيضًا للمساعدة في العثور على قواعد البيانات التي تحتوي على معلومات مكشوفة.
"سيساعد برنامج bug bounty في سد الثغرات في دفاعات Facebook ضد الكشط وتنبيه Meta لقواعد البيانات المسروقة التي تظهر على الويب ،" قال Paul Bischoff ، المدافع عن الخصوصية ومحرر منفذ أبحاث Infosec Comparitech ، لـ Lifewire عبر البريد الإلكتروني
خطر القشط
أشارتMeta إلى التجريف على أنه "تحدٍ على مستوى الإنترنت" حيث أعلنت عن توسيع برنامج مكافآت الأخطاء ، والذي تم تصميمه في البداية للعثور على مواطن الخلل في البرنامج الذي يعمل على تشغيل النظام الأساسي.
وفقًا لـ Bischoff ، حظرت العديد من المنصات استخدام أدوات الكشط ، حتى بالنسبة للمعلومات التي بحوزتها والتي يمكن الوصول إليها للجمهور. ذلك لأن معلومات التعريف الشخصية (PII) ، مثل أسماء المستخدمين وتواريخ الميلاد وعناوين البريد الإلكتروني والموقع ، غالبًا ما يتم استخدامها من قبل الجهات الفاعلة السيئة لاستهداف المستخدمين في حملات الهندسة الاجتماعية المتقنة.
سيساعد برنامج bug bounty في سد الثغرات الموجودة في دفاعات Facebook ضد الكشط وتنبيه Meta لقواعد البيانات الممسوحة …
ومع ذلك ، يضيف Bischoff أن Facebook كافح للتمييز بين الكاشطات والمستخدمين الشرعيين ، مما أدى إلى تسرب بيانات ضخم في الماضي. ويشير على وجه التحديد إلى التسريب الذي ظهر في مارس 2020 عندما تعاونت شركة Comparitech مع الباحث الأمني بوب دياتشينكو ، واكتشفت قاعدة بيانات تحتوي على معرفات المستخدمين وأرقام هواتف أكثر من 300 مليون مستخدم على Facebook.
لكن الكشط ليس غير قانوني تمامًا - فهو موجود في أفضل الأحوال في منطقة رمادية تقنية قانونية نظرًا لأنه يحتوي على استخدامات مشروعة أيضًا.
أوضح بيشوف"على الرغم من أن الكشط مخالف لشروط استخدام Facebook ، إلا أنه ليس غير قانوني تمامًا. بعض عمليات الكشط خبيثة ، لكن البعض الآخر أكاديمي أو صحفي".
مطلوب DOA
في إعلانها عن توسيع برنامج bug bounty ، ذكرت Facebook أنه منذ إنشائها ، منحت مبادرة bug bounty أكثر من 800 منحة ، بلغ مجموعها أكثر من 2.3 مليون دولار للباحثين من أكثر من 46 دولة. كان التعامل مع "التحديات الجديدة" مثل الكشط امتدادًا طبيعيًا للبرنامج.
على الرغم من أن التجريف يتعارض مع شروط استخدام Facebook ، إلا أنه ليس غير قانوني تمامًا.
وفقًا لـ Meta ، سيكافئ برنامج مكافأة الأخطاء الموسعة الباحثين الأمنيين على جبهتين.
واحد ، كجزء من إستراتيجيتها الأمنية الأكبر لجعل عملية التجريف أكثر صعوبة و "أكثر تكلفة" لممثلي التهديد ، ستمنح Meta تقارير حول الأخطاء في نظامها الأساسي والتي يمكن للممثلين السيئين استغلالها لتجاوز الحواجز التي أقامتها لردع التجريف
ثانيًا ، قالت المنصة إنها ستمنح أيضًا صائدي جوائز البيانات الذين يبلغونها بقواعد البيانات غير المحمية المتاحة عبر الإنترنت والتي تحتوي على معلومات تحديد الهوية الشخصية (PII) التي تم مسحها لما لا يقل عن 100000 مستخدم فريد على Facebook.
"إذا أكدنا أن معلومات تحديد الهوية الشخصية للمستخدم قد تم إزالتها وأصبح متاحًا الآن عبر الإنترنت على موقع غير Meta ، فسنعمل على اتخاذ الإجراءات المناسبة ، والتي قد تشمل العمل مع الكيان ذي الصلة لإزالة مجموعة البيانات أو البحث عن وسائل قانونية للمساعدة في ضمان معالجة المشكلة ، "تمت الإشارة إلى Meta في الإعلان.
أضاف أنه إذا كان الكشط بسبب خطأ في التكوين في تطبيق مطور خارجي ، فإن النظام الأساسي سيعمل مع المطور لسد التسريب. من ناحية أخرى ، ستبذل أيضًا جهودًا للتأكد من أن خدمة الاستضافة حيث قام المتسللون بإيواء قاعدة البيانات المكسورة تقوم بإزالتها.
المكافآت الخاصة بمكافآت الكشط تبدأ من 500 دولار ، وبينما تستلزم أخطاء التجريف مدفوعات مالية ، سيتم منح معلومات حول قواعد البيانات المكسورة في شكل تبرعات خيرية للمنظمات غير الربحية التي يختارها الصحفيون.
"على حد علمنا ، هذا هو أول برنامج مكافأة لكشط الأخطاء في الصناعة ،" لخص ميتا. "سنعمل على معالجة التعليقات الواردة من أفضل صائدي الجوائز لدينا قبل توسيع النطاق ليشمل جمهورًا أكبر."
