Meta a étendu son programme de bug bounty pour récompenser les chercheurs en sécurité qui découvrent de nouvelles façons de mener des attaques de grattage conçues pour collecter des informations sur les utilisateurs de Facebook.
« Nous savons que l’activité automatisée conçue pour extraire les données publiques et privées des personnes cible chaque site Web ou service », a déclaré Meta dans son annonce. « Nous savons également qu’il s’agit d’un espace hautement conflictuel où les scrapers – qu’il s’agisse d’applications, de sites Web ou de scripts malveillants – adaptent constamment leurs tactiques pour échapper à la détection en réponse aux défenses que nous construisons et améliorons. »
La société a donc décidé d’inviter les membres Hacker Plus des ligues Gold, Platinum et Diamond à soumettre des bogues pouvant être exploités pour récupérer les données des utilisateurs de Facebook. Meta dit qu’il cherche spécifiquement à « trouver des bogues qui permettent aux attaquants de contourner les limitations de grattage pour accéder aux données à une plus grande échelle que le produit prévu », afin qu’ils puissent minimiser le coût de leurs attaques.
« Au meilleur de notre connaissance, il s’agit du premier programme de primes de grattage de bogues de l’industrie », a déclaré Meta. « Nous travaillerons pour répondre aux commentaires de nos meilleurs chasseurs de primes avant d’étendre la portée à un plus grand public. »
Mais l’entreprise ne récompense pas seulement les chercheurs en sécurité qui trouvent des bogues pouvant être exploités pour mener des attaques de grattage. Meta récompensera également ceux qui l’alerteront sur des ensembles de données qui ont déjà été extraits de son service et mis à la disposition du public. De cette façon, il peut empêcher de telles attaques tout en atténuant l’impact du grattage qui a déjà eu lieu.
Cette extension du programme de primes de données a également des restrictions. « Nous récompenserons les rapports de bases de données non protégées ou ouvertement publiques contenant au moins 100 000 enregistrements d’utilisateurs Facebook uniques avec des informations personnelles ou des données sensibles (par exemple, e-mail, numéro de téléphone, adresse physique, affiliation religieuse ou politique) », a déclaré Meta. « L’ensemble de données signalé doit être unique et non connu ou signalé auparavant à Meta. »
Recommandé par nos rédacteurs
La société a déclaré qu’elle contacterait les fournisseurs d’hébergement tels que Amazon Web Services, Box et Dropbox, le cas échéant, pour que les informations récupérées soient supprimées de leurs plateformes. Il prévoit également d’étendre la portée de ce programme pour inclure de plus petites quantités d’informations après avoir obtenu les commentaires des chercheurs découvrant et divulguant ces plus grandes quantités de données.
Meta dit qu’il ne veut pas encourager les chercheurs à récupérer eux-mêmes les données en les payant directement pour leurs divulgations, bien sûr, il récompensera donc plutôt les rapports valides d’ensembles de données récupérés sous la forme de dons de charité à des organisations à but non lucratif choisies par nos chercheurs. » Étant donné que l’entreprise fait correspondre les paiements de primes aux organismes de bienfaisance, le montant versé aux organismes à but non lucratif sera plus élevé.
Vous aimez ce que vous lisez ?
S’inscrire pour Veille de sécurité newsletter pour nos meilleures histoires de confidentialité et de sécurité livrées directement dans votre boîte de réception.
Cette newsletter peut contenir de la publicité, des offres ou des liens d’affiliation. L’inscription à une newsletter indique votre consentement à nos conditions d’utilisation et à notre politique de confidentialité. Vous pouvez vous désinscrire des newsletters à tout moment.