Key Takeaways
- Meta hat sein Bug-Bounty-Programm erweitert, um seine Plattform und Benutzer gegen Datenkratzer zu wappnen.
- Data Scraping hat dazu geführt, dass Hacker in der Vergangenheit Informationen von über 300 Millionen Benutzern gesammelt haben.
-
Meta behauptet, dass es das erste ist, das Forscher für ihre Hilfe beim Data Scraping belohnt.
Würde es Sie überraschen zu erfahren, dass automatisierte Programme Social-Media-Plattformen wie Facebook durchsuchen, um öffentlich zugängliche Informationen zu sammeln und in Datenbanken zu sammeln? Einzelne Informationen sind möglicherweise nicht von großem Nutzen, aber zusammen können sie es Hackern ermöglichen, alle Arten von digitalen Verbrechen zu begehen, wie z. B. den Diebstahl von Anmeldeinformationen und Phishing-Angriffe. Und Meta hat genug davon.
Während das soziale Netzwerk selbst Schritte unternimmt, um diese automatisierten Programme namens Scraper zu fangen und einzuschränken, hat die Plattform nun beschlossen, die Hilfe unabhängiger Sicherheitsforscher in Anspruch zu nehmen, indem sie ihre Bug-Bounty-Programme erweitert. Sein Ziel ist es, nicht nur die Fehler zu beheben, die solche Details über seine Benutzer preisgeben, sondern auch dabei zu helfen, solche Datenbanken zu finden, die gekratzte Informationen enth alten.
"Das Bug-Bounty-Programm wird dazu beitragen, die Lücken in Facebooks Verteidigung gegen Scraping zu schließen und Meta auf gescrapede Datenbanken aufmerksam zu machen, die im Internet auftauchen", sagte Paul Bischoff, Datenschutzbeauftragter und Herausgeber des Infosec-Forschungsunternehmens Comparitech, Lifewire per E-Mail.
Die kratzende Bedrohung
Meta bezeichnete Scraping als "internetweite Herausforderung", als es die Erweiterung seines Bug-Bounty-Programms ankündigte, das ursprünglich darauf ausgelegt war, Softwarefehler im Code zu finden, der die Plattform antreibt.
Laut Bischoff haben viele Plattformen die Nutzung von Scrapern verboten, selbst für öffentlich zugängliche Informationen. Das liegt daran, dass personenbezogene Daten (PII) wie Benutzernamen, Geburtsdaten, E-Mail-Adressen und Standort häufig von Angreifern verwendet werden, um Benutzer in ausgeklügelten Social-Engineering-Kampagnen anzugreifen.
Das Bug-Bounty-Programm wird dazu beitragen, die Lücken in Facebooks Verteidigung gegen Scraping zu schließen und Meta auf gescrapede Datenbanken aufmerksam zu machen…
Bischoff fügt jedoch hinzu, dass Facebook Schwierigkeiten hatte, zwischen Scrapern und legitimen Benutzern zu unterscheiden, was in der Vergangenheit zu großen Datenlecks geführt habe. Er weist insbesondere auf das Leck hin, das im März 2020 auftauchte, als Comparitech sich mit dem Sicherheitsforscher Bob Diachenko zusammentat und eine Datenbank entdeckte, die die Benutzer-IDs und Telefonnummern von über 300 Millionen Facebook-Nutzern enthielt.
Aber Scraping ist nicht direkt illegal - bestenfalls existiert es in einer technisch-rechtlichen Grauzone, da es auch legitime Verwendungen hat.
"Auch wenn Scraping gegen die Nutzungsbedingungen von Facebook verstößt, ist es nicht streng illegal. Einige Scraping-Vorgänge sind böswillig, andere aber akademisch oder journalistisch", stellte Bischoff klar.
Gesuchter DOA
In seiner Ankündigung der Erweiterung des Bug-Bounty-Programms erwähnte Facebook, dass die Bug-Bounty-Initiative seit ihrer Gründung über 800 Kopfgelder im Gesamtwert von über 2,3 Millionen US-Dollar an Forscher aus mehr als 46 Ländern vergeben habe. Die Bewältigung „neuer Herausforderungen“wie das Schaben war eine natürliche Erweiterung des Programms.
Auch wenn Scraping gegen die Nutzungsbedingungen von Facebook verstößt, ist es nicht streng illegal.
Laut Meta wird das erweiterte Bug-Bounty-Programm Sicherheitsforscher an zwei Fronten belohnen.
Eins, als Teil seiner umfassenderen Sicherheitsstrategie, um das Scraping für Bedrohungsakteure schwieriger und „kostspieliger“zu machen, wird Meta Berichte über Fehler auf seiner Plattform vergeben, die Angreifer ausnutzen können, um die Barrieren zu umgehen, die es errichtet hat, um Scraping abzuh alten.
Zweitens gab die Plattform bekannt, dass sie auch Daten-Kopfgeldjäger belohnen wird, die sie über online verfügbare ungeschützte Datenbanken informieren, die die abgeschöpften PII von mindestens 100.000 eindeutigen Facebook-Nutzern enth alten.
Wenn wir bestätigen, dass personenbezogene Daten von Benutzern gekratzt wurden und jetzt online auf einer Nicht-Meta-Website verfügbar sind, werden wir daran arbeiten, geeignete Maßnahmen zu ergreifen, einschließlich der Zusammenarbeit mit der zuständigen Stelle zur Entfernung des Datensatzes oder der Suche nach rechtlichen Mitteln um sicherzustellen, dass das Problem behoben wird“, bemerkte Meta in der Ankündigung.
Es fügte hinzu, dass die Plattform mit dem Entwickler zusammenarbeiten würde, um das Leck zu stopfen, wenn das Scraping auf eine Fehlkonfiguration in der Anwendung eines externen Entwicklers zurückzuführen wäre. Andererseits wird es auch Anstrengungen unternehmen, um sicherzustellen, dass der Hosting-Service, bei dem die Hacker die gescrapede Datenbank untergebracht haben, sie herunterfährt.
Die Belohnungen für die Scraping-Prämien beginnen bei 500 US-Dollar, und während die Scraping-Bugs mit Geldauszahlungen verbunden sind, werden Informationen über gescrapede Datenbanken in Form von Wohltätigkeitsspenden an gemeinnützige Organisationen nach Wahl der Reporter vergeben.
"Nach unserem besten Wissen ist dies das erste Scraping-Bug-Bounty-Programm in der Branche", fasste Meta zusammen. "Wir werden daran arbeiten, das Feedback unserer besten Kopfgeldjäger zu berücksichtigen, bevor wir den Anwendungsbereich auf ein größeres Publikum ausdehnen."
