Key Takeaways
- Meta telah memperluas program bug bounty untuk membentengi platform dan penggunanya dari pengikis data.
- Pengikisan data telah menyebabkan peretas mengumpulkan informasi lebih dari 300 juta pengguna di masa lalu.
-
Meta mengklaim bahwa ini adalah yang pertama memberi penghargaan kepada peneliti atas bantuan mereka untuk menguasai pengikisan data.
Apakah Anda akan terkejut mengetahui bahwa program otomatis menyapu platform media sosial seperti Facebook untuk mengumpulkan informasi yang dapat diakses publik dan menyusunnya di dalam basis data? Potongan informasi individual mungkin tidak banyak berguna, tetapi bersama-sama mereka dapat memungkinkan peretas untuk melakukan semua jenis kejahatan digital, seperti pencurian kredensial dan serangan phishing. Dan Meta sudah muak.
Sementara jejaring sosial itu sendiri mengambil langkah-langkah untuk menangkap dan membatasi program otomatis yang disebut scraper, platform tersebut kini telah memutuskan untuk meminta bantuan peneliti keamanan independen dengan memperluas program bug bounty-nya. Tujuannya bukan hanya untuk memperbaiki bug yang membocorkan detail seperti itu tentang penggunanya, tetapi juga untuk membantu menemukan basis data yang menyimpan informasi tergores.
"Program bounty bug akan membantu mengisi celah dalam pertahanan Facebook terhadap gesekan dan mengingatkan Meta terhadap basis data tergores yang muncul di web, " Paul Bischoff, advokat privasi dan editor outlet penelitian Infosec Comparitech, mengatakan kepada Lifewire melalui email.
Ancaman Menggores
Meta menyebut scraping sebagai "tantangan di seluruh internet" saat mengumumkan perluasan program bug bounty, yang awalnya dirancang untuk menemukan gangguan perangkat lunak dalam kode yang mendukung platform.
Menurut Bischoff, banyak platform yang melarang penggunaan scraper, bahkan untuk informasi yang mereka pegang yang dapat diakses publik. Itu karena informasi pengenal pribadi (PII), seperti nama pengguna, tanggal lahir, alamat email, dan lokasi, sering digunakan oleh pelaku jahat untuk menargetkan pengguna dalam kampanye manipulasi psikologis yang rumit.
Program bug bounty akan membantu mengisi celah dalam pertahanan Facebook terhadap goresan dan mengingatkan Meta ke basis data yang tergores…
Namun, Bischoff menambahkan bahwa Facebook telah berjuang untuk membedakan antara scraper dan pengguna yang sah, yang telah mengakibatkan kebocoran data yang sangat besar di masa lalu. Dia secara khusus menunjuk pada kebocoran yang muncul pada Maret 2020 ketika Comparitech bekerja sama dengan peneliti keamanan Bob Diachenko, dan menemukan database yang berisi ID pengguna dan nomor telepon lebih dari 300 juta pengguna Facebook.
Tapi menggores tidak sepenuhnya ilegal-paling baik itu ada di wilayah abu-abu techno-legal karena memang memiliki kegunaan yang sah juga.
"Meskipun scraping bertentangan dengan ketentuan penggunaan Facebook, itu tidak sepenuhnya ilegal. Beberapa operasi scraping berbahaya, tetapi yang lain bersifat akademis, atau jurnalistik, " jelas Bischoff.
Dicari DOA
Dalam pengumuman perluasan program hadiah bug, Facebook menyebutkan bahwa sejak awal, inisiatif hadiah bug telah memberikan lebih dari 800 hadiah, dengan total lebih dari $2,3 juta kepada peneliti dari lebih dari 46 negara. Mengatasi "tantangan baru" seperti scraping adalah perpanjangan alami dari program ini.
Meskipun menggores bertentangan dengan ketentuan penggunaan Facebook, itu tidak sepenuhnya ilegal.
Menurut Meta, program karunia bug yang diperluas akan memberi penghargaan kepada peneliti keamanan di dua bidang.
Satu, sebagai bagian dari strategi keamanannya yang lebih besar untuk membuat pengikisan lebih sulit dan "lebih mahal" bagi pelaku ancaman, Meta akan memberikan laporan tentang bug di platformnya yang dapat dimanfaatkan oleh aktor jahat untuk melewati penghalang yang didirikan untuk mencegah pengikisan.
Kedua, platform tersebut juga akan memberikan penghargaan kepada pemburu hadiah data yang menginformasikannya tentang basis data tidak terlindungi yang tersedia secara online yang berisi PII tergores dari setidaknya 100.000 pengguna Facebook unik.
"Jika kami mengonfirmasi bahwa PII pengguna telah dihapus dan sekarang tersedia online di situs non-Meta, kami akan berupaya mengambil tindakan yang sesuai, yang mungkin termasuk bekerja dengan entitas terkait untuk menghapus kumpulan data atau mencari cara hukum untuk membantu memastikan masalah ini ditangani, " kata Meta dalam pengumuman.
Ini menambahkan bahwa jika gesekan itu karena kesalahan konfigurasi dalam aplikasi pengembang eksternal, platform akan bekerja dengan pengembang untuk menutup kebocoran. Di sisi lain, ia juga akan berupaya untuk memastikan bahwa layanan hosting tempat peretas menyimpan database yang tergores akan menghapusnya.
Hadiah untuk scraping bounty mulai dari $500, dan sementara bug scraping memerlukan pembayaran uang, informasi tentang database scraped akan diberikan dalam bentuk donasi amal kepada organisasi nonprofit yang dipilih reporter.
"Sepengetahuan kami, ini adalah program bounty bug scraping pertama di industri ini," Meta menyimpulkan. "Kami akan bekerja untuk menanggapi umpan balik dari pemburu hadiah teratas kami sebelum memperluas cakupan ke audiens yang lebih besar."
