Princípios importantes
- A Meta expandiu seu programa de recompensas de bugs para fortalecer sua plataforma e usuários contra raspadores de dados.
- A raspagem de dados levou os hackers a acumular informações de mais de 300 milhões de usuários no passado.
-
Meta afirma que é o primeiro a recompensar os pesquisadores por sua ajuda para reinar na extração de dados.
Seria uma surpresa para você saber que programas automatizados varrem plataformas de mídia social como o Facebook para coletar qualquer informação publicamente acessível e coletá-las dentro de bancos de dados? Informações individuais podem não ser muito úteis, mas juntas podem permitir que hackers perpetrem todos os tipos de crimes digitais, como roubo de credenciais e ataques de phishing. E Meta está farto disso.
Enquanto a própria rede social toma medidas para capturar e restringir esses programas automatizados chamados scrapers, a plataforma decidiu agora contar com a ajuda de pesquisadores de segurança independentes, expandindo seus programas de recompensas de bugs. Seu objetivo não é apenas corrigir os bugs que vazam esses detalhes sobre seus usuários, mas também ajudar a encontrar esses bancos de dados que contêm informações raspadas.
"O programa de recompensas de bugs ajudará a preencher as lacunas nas defesas do Facebook contra a raspagem e alertar o Meta para bancos de dados raspados que aparecem na web", disse Paul Bischoff, defensor da privacidade e editor do portal de pesquisa da Infosec Comparitech, à Lifewire por e-mail.
A Ameaça da Raspagem
Meta se referiu ao scraping como um "desafio em toda a internet" ao anunciar a expansão de seu programa de recompensas por bugs, que foi inicialmente projetado para encontrar falhas de software no código que alimenta a plataforma.
De acordo com Bischoff, muitas plataformas proibiram o uso de scrapers, mesmo para as informações que possuem e que são publicamente acessíveis. Isso ocorre porque as informações de identificação pessoal (PII), como nomes de usuário, datas de nascimento, endereços de e-mail e localização, são frequentemente usadas por pessoas mal-intencionadas para segmentar usuários em elaboradas campanhas de engenharia social.
O programa de recompensas de bugs ajudará a preencher as lacunas nas defesas do Facebook contra a raspagem e alertará o Meta sobre bancos de dados raspados…
No entanto, Bischoff acrescenta que o Facebook tem se esforçado para distinguir entre scrapers e usuários legítimos, o que resultou em grandes vazamentos de dados no passado. Ele aponta especificamente para o vazamento que surgiu em março de 2020, quando a Comparitech se uniu ao pesquisador de segurança Bob Diachenko e descobriu um banco de dados que continha os IDs de usuários e números de telefone de mais de 300 milhões de usuários do Facebook.
Mas a raspagem não é totalmente ilegal - na melhor das hipóteses, existe em uma área cinzenta tecno-legal, pois também tem usos legítimos.
"Embora a raspagem seja contra os termos de uso do Facebook, não é estritamente ilegal. Algumas operações de raspagem são maliciosas, mas outras são acadêmicas ou jornalísticas ", esclareceu Bischoff.
Procuro DOA
Em seu anúncio da expansão do programa de recompensas por bugs, o Facebook mencionou que, desde sua criação, a iniciativa de recompensas por bugs havia concedido mais de 800 recompensas, totalizando mais de US$ 2,3 milhões para pesquisadores de mais de 46 países. Enfrentar "novos desafios", como raspagem, foi uma extensão natural do programa.
Mesmo que o scraping seja contra os termos de uso do Facebook, não é estritamente ilegal.
De acordo com a Meta, o programa de recompensas de bugs expandido recompensará os pesquisadores de segurança em duas frentes.
Um, como parte de sua estratégia de segurança mais ampla para tornar a raspagem mais difícil e "mais cara" para os agentes de ameaças, a Meta premiará relatórios sobre bugs em sua plataforma que os agentes mal-intencionados podem explorar para contornar as barreiras erguidas para dissuadir a raspagem.
Em segundo lugar, a plataforma disse que também premiará caçadores de recompensas de dados que informarem sobre bancos de dados desprotegidos disponíveis on-line que contenham as PII raspadas de pelo menos 100.000 usuários únicos do Facebook.
"Se confirmarmos que as PII do usuário foram extraídas e agora estão disponíveis on-line em um site não Meta, trabalharemos para tomar as medidas apropriadas, que podem incluir trabalhar com a entidade relevante para remover o conjunto de dados ou buscar meios legais para ajudar a garantir que o problema seja resolvido", observou Meta no anúncio.
Acrescentou que se a raspagem fosse devido a uma configuração incorreta no aplicativo de um desenvolvedor externo, a plataforma trabalharia com o desenvolvedor para tapar o vazamento. Por outro lado, também fará esforços para garantir que o serviço de hospedagem onde os hackers alojaram o banco de dados raspado o derrube.
As recompensas pelas recompensas de raspagem começam em US$ 500 e, embora os bugs de raspagem impliquem pagamentos monetários, as informações sobre bancos de dados raspados serão concedidas na forma de doações de caridade para organizações sem fins lucrativos escolhidas pelos repórteres.
"Até onde sabemos, este é o primeiro programa de recompensas de bugs na indústria", resumiu Meta. "Trabalharemos para atender ao feedback de nossos principais caçadores de recompensas antes de expandir o escopo para um público maior."