Хакер #305. Многошаговые SQL-инъекции
Вчера CEO Facebook Марк Цукерберг выступал на слушаниях в Конгрессе США (перед членами торгового и финансового комитетов), куда главу социальной сети пригласили из-за скандала, связанного с компанией Cambridge Analytica. Напомню, что Facebook фактически допустила утечку данных 87 000 000 пользователей, и затем это информация была использована компанией Cambridge Analytica, чьим основным вектором работы являются алгоритмы анализа политических предпочтений избирателей.
Но о чем на протяжении пяти часов говорили в Конгрессе, и почему в интернете снова шутят о том, что Цукерберг рептилоид или робот, а в Конгрессе он проходил тест Тьюринга, лучше расскажут наши коллеги из других СМИ.
Мы же обратим внимание на другую новость, которая прошла почти незамеченной на фоне появления Цукерберга в Конгрессе. Дело в том, что еще несколько недель назад представители Facebook пообещали, что не просто «закрутят гайки» для сторонних приложений, использующих API социальной сети (эти обещания уже частично сдержали), но также расширят свою программу вознаграждения за уязвимости, чтобы поощрить пользователей и экспертов искать признаки потенциального злоупотребления данными (data abuse).
10 апреля 2018 года bug bounty программа Facebook действительно была обновлена, и теперь люди, обнаружившие пресловутый data abuse в стороннем приложении, могут получить за это вознаграждение в размере до 40 000 долларов. Причем представители социальной сети пишут, что 40 000 – это не максимум, в особо сложных случаях размер вознаграждения может быть увеличен.
Под словосочетанием «злоупотребление данными» подразумевается, что приложение собирает данные пользователей Facebook, которые затем передаются третьим сторонам, где информация может быть перепродана, похищена, использована с целью мошенничества или получения политического влияния.
Представители Facebook сообщают, что, если факт злоупотребления данными будет подтвержден, работа приложения-нарушителя будет прекращена. Также социальная сеть оставляет за собой право обратиться со всей собранной информацией в правоохранительные органы или суд, если это будет необходимо.