Команда безопасности компании Meta (бывшая Facebook) сообщает, что теперь парсинговые атаки и несанкционированный сбор пользовательских данных входят в состав программы bug bounty.
Отныне компания будет платить ИБ-исследователям, если те обнаружат дыры в средствах защиты от скрапинга, которые позволяют злоумышленникам собирать информацию пользователей, даже если эти данные являются общедоступными и просто указаны в профилях. За такие баги можно будет от 500 долларов США.
Кроме того, компания заявила, что вознаградит и тех исследователей, которые обнаружат в интернете данные пользователей Facebook, собранные посредством скрапинга ранее.
«Набор данных, о котором вы сообщаете, должен быть уникальным, ранее неизвестным Meta, — поясняет Дэн Гурфинкель, менеджер по безопасности в Facebook. — Если мы подтвердим, что PII пользователей была извлечена и теперь доступна в интернете, на сайте, не принадлежащем Meta, мы будем работать над принятием соответствующих мер, которые могут включать в себя сотрудничество с соответствующей организацией для удаления этого набора данных или поиск юридических средств для решения проблемы».
Такие дампы должны содержать не менее 100 000 пользовательских записей и такие детали, как email-адреса, номера телефонов, физические адреса, информацию о религиозных или политических взглядах, а также любую личную и конфиденциальную информацию, указанную в профилях пользователей. При этом неважно, были данные собраны киберпреступником или разработчиком некоего приложения, поскольку Meta в целом намерена бороться с незаконным сбором данных на своей платформе.
Чтобы избежать ситуаций, когда багхантеры сами скрапят данные с Facebook, а затем сливают их в сеть (чтобы заработать вознаграждение), компания заявила, что не будет платить за подобные отчеты. Вместо этого Facebook планирует делать пожертвования на благотворительность по выбору исследователя, в размере 500 долларов и более.
Нужно сказать, что проблема со скрапингом данных давно является для Facebook весьма острой. К примеру, весной текущего года хакер выставил на продажу данные 533 млн пользователей Facebook, собранные именно таким способом. Тогда представители Facebook заявили, что отключил функцию Contact Importer, которой злоупотреблял скрапер, еще в сентябре 2019 года, когда обнаружили, что ею пользуются злоумышленники.
В октябре 2021 года Facebook и вовсе подала в суд на украинца, который с января 2018 года по сентябрь 2019 года собрал информацию о 178 млн человек, а затем слил эту информацию в сеть.
