Meta(前Facebook)推出业界首个针对数据抓取的漏洞赏金计划,鼓励研究人员报告能绕过抓取限制、获取不当数据的漏洞。此计划旨在应对自动化数据抓取带来的安全挑战,特别是过去的剑桥分析等数据丑闻。Meta将对符合条件的报告进行奖励,并捐赠给慈善机构。自计划实施以来,已支付超过1400万美元的奖金给全球各地的研究人员。
Meta(原Facebook)正在扩大它的漏洞赏金计划,将报告数据搜刮的研究人员纳入其中。Meta在一篇博文中表示,Meta是业内首个专门针对抓取活动启动悬赏的公司。
数据泄露丑闻不断
安全工程经理Dan Gurfinkle表示:“我们正在寻找那些能使攻击者绕过抓取限制的漏洞,从而获取到超出预期的数据”。
Dan Gurfinkel称,当下,自动化数据抓取十分普遍,是每个网站都挥之不去的噩梦。这是一个高强度的对抗行为,自动化数据抓取者会不断更换他们的“武器”,包括恶意软件、自动化脚本、钓鱼网站等等,用来规避官方的检测和打击。Meta公司很难打击这种活动。
2018年,臭名昭著的剑桥分析公司(Cambridge Analytica)遭遇数据丑闻,英国信息委员会执法人员搜查“剑桥分析”公司总部,调查结果显示,剑桥分析公司涉嫌窃取5000万Facebook用户的信息,用于操纵政治活动。
今年四月,Facebook就一起影响到5.33亿用户的数据泄露事件做了回应。据悉,超过5.33亿Facebook用户的个人详细信息已被公布在一个黑客网站上。与此同时,还有106个不同国家的Facebook用户信息被公之于众,其中包括3200万条美国用户记录,1100万条英国用户记录和600万条印度用户记录。Facebook称这起事件实际上发生于2019年,Facebook有一项功能遭到滥用,在当时发现这个问题后,该公司就已经堵住了这个漏洞。
今年十月,Facebook对一名乌克兰人提起诉讼,因为他涉嫌在一个地下网络犯罪论坛上出售盗用自Messenger即时通信服务中的超过1.78亿用户的个人数据。
新的漏洞赏金计划
根据Meta新的漏洞赏金计划,如果研究人员找到“未受保护或公开的数据库,其中至少包含10万条具有个人身份信息(PII)或敏感数据(如电子邮件、电话号码、物理地址、宗教或政治派别)的独特Facebook用户记录,将获得奖励”。注意的是,报告的数据库必须是唯一且以前未暴露的。
不过,这部分奖金并不是像以往一样直接打给个人,而是会定向向研究人员指定的慈善机构捐钱。
Meta表示,该计划自启动以来,已支付了超过1400万美元的奖金,仅2021年,就有230万美元奖励给了超过46个国家的研究人员。Meta指出,过去10年的有效报告主要来自印度,美国和尼泊尔。
参考链接:
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
