Meta擴(kuò)大漏洞懸賞計(jì)劃 首次納入數(shù)據(jù)搜刮類目

Meta 正在擴(kuò)大它的漏洞懸賞計(jì)劃，將報(bào)告數(shù)據(jù)抓取的研究人員納入其中。這一變化將允許研究人員報(bào)告能夠進(jìn)行抓取活動(dòng)的漏洞，以及之前抓取的已經(jīng)在網(wǎng)上發(fā)布的數(shù)據(jù)。Meta 在一篇博文中表示，公司應(yīng)該是業(yè)內(nèi)首個(gè)專門針對(duì)抓取活動(dòng)啟動(dòng)懸賞的公司。

安全工程經(jīng)理 Dan Gurfinkle 在一次簡(jiǎn)報(bào)會(huì)上表示:“我們正在尋找那些能使攻擊者繞過抓取限制的漏洞，從而獲取到超出預(yù)期的數(shù)據(jù)”。和追蹤其他“惡意”活動(dòng)不同，數(shù)據(jù)搜刮是使用自動(dòng)化工具從用戶的個(gè)人資料中大量收集個(gè)人信息，如電子郵件地址、電話號(hào)碼、個(gè)人資料照片和其他細(xì)節(jié)。盡管用戶通常愿意在他們公開的 Facebook 檔案中分享這些信息，但搜刮者可以更廣泛地暴露這些細(xì)節(jié)，比如在可搜索的數(shù)據(jù)庫中公布這些信息。

Meta 公司也很難打擊這種活動(dòng)。例如，4 月份，超過 5 億 Facebook 用戶的個(gè)人信息被公布在一個(gè)論壇上。在這種情況下，實(shí)際的數(shù)據(jù)搜刮發(fā)生在幾年前，而且公司已經(jīng)解決了潛在的缺陷。但是，一旦數(shù)據(jù)開始在網(wǎng)上流傳，它就無能為力了。在某些情況下，該公司也曾起訴個(gè)人的數(shù)據(jù)竊取行為。

根據(jù)新的漏洞賞金計(jì)劃，研究人員如果找到“未受保護(hù)或公開的數(shù)據(jù)庫，其中包含至少10萬條具有PII（個(gè)人身份信息）或敏感數(shù)據(jù)（如電子郵件、電話號(hào)碼、物理地址、宗教或政治派別）的獨(dú)特Facebook用戶記錄，將獲得獎(jiǎng)勵(lì)”。不過，Meta 公司表示，它將向研究人員選擇的慈善機(jī)構(gòu)捐款，而不是像往常一樣進(jìn)行賠付，以避免激勵(lì)發(fā)布刮削數(shù)據(jù)的行為。