Meta est prêt à payer pour cela
Points clés à retenir
- Meta a étendu son programme de bug bounty pour renforcer sa plate-forme et ses utilisateurs contre les grattoirs de données.
- Le grattage de données a conduit les pirates informatiques à amasser des informations sur plus de 300 millions d'utilisateurs dans le passé.
- Meta prétend être le premier à récompenser les chercheurs pour leur aide contre le grattage des données.
Seriez-vous surpris de savoir que des programmes automatisés balayent les plateformes de médias sociaux comme Facebook pour récolter toutes les informations accessibles au public et les rassembler dans des bases de données ? Des éléments d'information individuels peuvent ne pas être d'une grande utilité, mais ensemble, ils peuvent permettre aux pirates de perpétrer toutes sortes de crimes numériques, tels que des vols d'identifiants et des attaques de phishing. Et Meta en a assez.
Alors que le réseau social lui-même prend des mesures pour lutter et réduire ces programmes automatisés appelés scrapers, la plate-forme a maintenant décidé de faire appel à des chercheurs en sécurité indépendants en élargissant ses programmes de bug bounty . Son objectif n'est pas seulement de corriger les bugs qui divulguent de tels détails sur ses utilisateurs, mais aussi d'aider à trouver des bases de données contenant des informations grattées.
Paul Bischoff , défenseur de la vie privée et rédacteur en chef d'un site Web pro-consommateur Comparitech a écrit dans un article :« Le bug programme de primes aidera à combler les lacunes dans les défenses de Facebook contre le grattage et alerte Meta aux bases de données trouver sur le web, »
La menace du grattage
Meta a qualifié le scraping de défi lorsqu'il a annoncé l'extension de son programme de bug bounty, initialement conçu pour détecter les problèmes logiciels dans le code qui alimente la plate-forme.
Selon Bischoff, de nombreuses plateformes ont interdit l'utilisation de grattoirs, même pour les informations qu'elles détiennent et qui sont accessibles au public. En effet, les informations personnellement identifiables (PII), telles que les noms d'utilisateur, les dates de naissance, les adresses e-mail et l'emplacement, sont souvent utilisées par de mauvais acteurs pour cibler les utilisateurs dans des campagnes d'ingénierie sociale élaborées.
"Le programme de bug bounty aidera à combler les lacunes des défenses de Facebook contre le grattage et alertera Meta sur les bases de données grattées..."
Cependant, Bischoff ajoute que Facebook a eu du mal à faire la distinction entre les scrapers et les utilisateurs légitimes, ce qui a entraîné d'énormes fuites de données dans le passé. Il souligne en particulier la fuite qui a fait surface en mars 2020 lorsque Comparitech s'est associé au chercheur en sécurité Bob Diachenko et a découvert une base de données contenant les identifiants et les numéros de téléphone de plus de 300 millions d'utilisateurs de Facebook.
le grattage n'est pas tout à fait illégal
Mais le grattage n'est pas tout à fait illégal - au mieux, il existe dans une zone grise techno-légale car il a également des utilisations légitimes.
"Même si le scraping est contraire aux conditions d'utilisation de Facebook, ce n'est pas strictement illégal. Certaines opérations de scraping sont malveillantes, mais d'autres sont académiques ou journalistiques", a précisé Bischoff.
l'initiative de bug bounty avait attribué plus de 800 primes
Dans son annonce de l'expansion du programme de bug bounty, Facebook a mentionné que depuis sa création, l'initiative de bug bounty avait attribué plus de 800 primes, totalisant plus de 2,3 millions de dollars à des chercheurs de plus de 46 pays. S'attaquer à de « nouveaux défis » comme le grattage était une extension naturelle du programme.
Selon Meta, le programme élargi de bug bounty récompensera les chercheurs en sécurité sur deux fronts.
Premièrement, dans le cadre de sa stratégie de sécurité plus large visant à rendre le grattage plus difficile et « plus coûteux » , Meta attribuera des rapports sur les bugs de sa plate-forme que les mauvais acteurs peuvent exploiter pour contourner les barrières pour dissuader le grattage.
Deuxièmement, la plate-forme a déclaré qu'elle récompenserait également les chasseurs de données qui l'informeraient des bases de données non protégées disponibles en ligne qui contiennent les PII récupérées d'au moins 100 000 utilisateurs uniques de Facebook.
Meta prendre les mesures appropriées
« Si nous confirmons que les informations personnelles de l'utilisateur ont été supprimées et sont désormais disponibles en ligne sur un site non-Meta, nous nous efforcerons de prendre les mesures appropriées, qui peuvent inclure une collaboration avec l'entité concernée pour supprimer l'ensemble de données ou rechercher des moyens juridiques pour aider à résoudre le problème. », a noté Meta dans l'annonce.
Lire aussi:
Meta veut Donnez vie aux dessins de vos enfants
Il a ajouté que si la fuite de données était due à une mauvaise configuration dans l'application d'un développeur externe, la plate-forme travaillerait avec le développeur pour colmater la fuite. D'un autre côté, il fera également des efforts pour s'assurer que le service d'hébergement où les pirates ont hébergé la base de données grattée la supprime.
"Au meilleur de notre connaissance, il s'agit du premier programme de primes de grattage de bugs de l'industrie", a résumé Meta. "Nous travaillerons pour répondre aux commentaires de nos meilleurs chasseurs de primes avant d'étendre la portée à un plus grand public."
.png)
.png)
COMMENTS