Хакер #305. Многошаговые SQL-инъекции
Компания Facebook расширила свою программу Data Abuse Bounty на приложения для Instagram. Обнаружив злоупотреблением данными, исследователи смогут заработать до 40 000 долларов. Причем представители социальной сети уверяют, что 40 000 – это не максимум, в особо сложных случаях размер вознаграждения может быть увеличен.
Напомню, что еще в 2018 году социальная сеть приняла решение расширить свою программу вознаграждения за уязвимости и поощрять пользователей и экспертов на поиск признаков потенциального злоупотребления данными (data abuse). Это произошло вскоре после скандала, связанного с компанией Cambridge Analytica.
Под словосочетанием «злоупотребление данными» подразумевается, что приложение собирает данные пользователей, которые затем передаются третьим сторонам, где информация может быть перепродана, похищена, использована с целью мошенничества или получения политического влияния.
Стоит заметить, что с 2018 года программа уже не раз демонстрировала свою эффективность. Так, вскоре после старта программы, в 2018 году, Facebook блокировала более 200 приложений, злоупотреблявших пользовательскими данными.
Расширение программы Data Abuse Bounty на Instagram, очевидно, связано с инцидентом с компанией Hyp3r. Дело в том, что в начале августа 2019 года рекламного партнера Instagram, компанию Hyp3r, уличили в сборе пользовательских данных для последующего составления рекламных профилей. Hyp3r тайно собирал и хранил миллионы пользовательских историй, изображений, данные о геолокации, биографиях, интересах и так далее. В итоге Hyp3r был заблокирован Facebook за нарушение правил платформы.
Но кроме расширения Data Abuse Bounty программы, социальная сеть также анонсировала продление своей bug bounty программы на другую функцию Instagram. Скоро уязвимости можно будет искать в Checkout, функции, запущенной в тестовом режиме ранее в этом году. Она позволяет пользователям приобретать продукты непосредственно в Instagram, не покидая приложения. Представители Facebook обещают, что исследователи получат ранний доступ к Checkout и будут вознаграждены за поданные в итоге отчеты.