据The Hacker News消息,全球最大的在线社交网络公司(前身是 Facebook)Meta宣布进一步扩大漏洞悬赏计划,除了原有的报告漏洞可获得赏金外,数据抓取也被列入赏金计划之中。
这是Meta首次将数据抓取纳入悬赏计划,也是业内首个为数据抓取启动悬赏的企业。
Meta 的安全工程经理 Dan Gurfinkel表示,当下,自动化数据抓取十分普遍,是每个网站都挥之不去的噩梦。这是一个高强度的对抗行为,自动化数据抓取者会不断更换他们的“武器”,包括恶意软件、自动化脚本、钓鱼网站等等,用来规避官方的检测和打击。
为此,Meta开始转换思路,他们开始主动寻找那些能够绕过防御的数据抓取者,寻找那些暴露在互联网上的“数据”。
根据Meta的赏金计划规则,只要研究人员找到“未受保护或公开的数据库,其中包含不少于 100,000 个独特的 Facebook 用户记录以及个人身份信息 (PII),例如电子邮件、电话号码、实际地址、宗教或政治背景等信息。注意的是,报告的数据库必须是唯一且以前未暴露的。”那么发现者就可以获得相应的奖金,
不过,这部分奖金并不是像以往一样直接打给个人,而是会定向向研究人员指定的慈善机构捐钱,以免出现刺激白帽黑客大幅抓取数据的行为。
Meta会对提交的数据进行评估,如果满足公司既定的标准,那么公司会采取相应的措施,包括采取法律行动、从非 Meta 网站上删除数据等。其中可能还涉及与 Amazon、Box 和 Dropbox等托管服务商联系离线数据库,或与第三方应用程序开发人员合作解决服务器配置错误等。
Meta表示,该计划自启动以来,已支付了超过1400万美元的奖金,仅2021年,就有230万美元奖励给了超过46个国家的研究人员。
参考来源
https://thehackernews.com/2021/12/facebook-to-pay-hackers-for-reporting.html
声明:本文来自FreeBuf,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。