ቁልፍ መውሰጃዎች
- ሜታ የመሳሪያ ስርዓቱን እና ተጠቃሚዎቹን ከውሂብ መጭመቂያዎች ለማጠንከር የሳንካ ጉርሻ ፕሮግራሙን አስፋፋ።
- የመረጃ መቧጨር ጠላፊዎች ከዚህ ቀደም ከ300 ሚሊዮን በላይ ተጠቃሚዎችን መረጃ እንዲያሰባስቡ አድርጓቸዋል።
-
ሜታ ተመራማሪዎች በውሂብ መቧጨር ላይ እንዲነግሱ ላደረጉት እገዛ የሚሸልመው የመጀመሪያው ነው ብሏል።
አውቶማቲክ ፕሮግራሞች ማንኛውንም በይፋ ተደራሽ የሆነ መረጃ ለመሰብሰብ እና በመረጃ ቋቶች ውስጥ ለመሰብሰብ እንደ ፌስቡክ ያሉ የማህበራዊ ሚዲያ መድረኮችን ጠራርገው እንደሚያወጡት ቢያውቁ ያስደንቃችኋል? የግለሰብ መረጃዎች ብዙም ጥቅም ላይኖራቸው ይችላል፣ ነገር ግን አንድ ላይ ሰርጎ ገቦች ሁሉንም አይነት ዲጂታል ወንጀሎች፣ እንደ የምስክርነት ስርቆት እና የማስገር ጥቃቶችን እንዲፈጽሙ ያስችላቸዋል።እና ሜታ በቃላት።
የማህበራዊ ድህረ ገጹ ራሱ እነዚህን አውቶማቲክ ፕሮግራሞች ስክራይፐርስ የተባሉትን ለመያዝ እና ለመገደብ እርምጃዎችን እየወሰደ ቢሆንም መድረኩ አሁን የbug bounty ፕሮግራሞቹን በማስፋት የገለልተኛ የደህንነት ተመራማሪዎችን እርዳታ ለማግኘት ወስኗል። አላማው ስለተጠቃሚዎቹ እንደዚህ ያሉ ዝርዝሮችን የሚያወጡትን ስህተቶች ማስተካከል ብቻ ሳይሆን የተበላሹ መረጃዎችን የሚይዙ የውሂብ ጎታዎችን ለማግኘት ጭምር ነው።
የሳንካ ቦውንቲ መርሃ ግብሩ ፌስቡክን ከመቧጨር ለመከላከል ያለውን ክፍተት ለመሙላት እና ሜታ በድህረ-ገጽ ላይ የሚወጡትን የተፋጠጡ የመረጃ ቋቶችን ለማስጠንቀቅ ይረዳል ሲል የInfosec የምርምር ተቋም ኮምፓሪቴክ የግላዊነት ተሟጋች እና አዘጋጅ ፖል ቢሾፍቱ ለላይፍዋይር በኢሜል ተናግሯል።.
የጭረት ስጋት
ሜታ የስህተት ጉርሻ ፕሮግራሙን ማስፋፋቱን ሲያስታውቅ መቧጨርን እንደ "ኢንተርኔት አቀፍ ፈተና" ገልጿል፣ይህም በመጀመሪያ መድረኩን በሚያስተዳድረው ኮድ ላይ የሶፍትዌር ጉድለቶችን ለማግኘት ታስቦ ነው።
ቢሾፍቱ እንደዘገበው፣ ብዙ መድረኮች ለሕዝብ ተደራሽ በሆነው መረጃ በያዙት መረጃ እንኳን የጭረት መጠቀምን ከልክለዋል። ምክንያቱም በግል የሚለይ መረጃ (PII)፣ እንደ የተጠቃሚ ስሞች፣ የልደት ቀኖች፣ የኢሜይል አድራሻዎች እና መገኛ አካባቢ ብዙውን ጊዜ በመጥፎ ተዋናዮች ተጠቃሚዎችን በተብራራ የማህበራዊ ምህንድስና ዘመቻዎች ላይ ለማነጣጠር ስለሚጠቀሙ ነው።
የሳንካ ቦውንቲ መርሃ ግብሩ ፌስቡክን ከመቧጨር ለመከላከል ያለውን ክፍተት ለመሙላት እና ሜታ ለተሻገሩ የመረጃ ቋቶች ለማስጠንቀቅ ይረዳል…
ነገር ግን ቢሾፍቱ አያይዘውም ፌስቡክ ሸርተቴዎችን እና ህጋዊ ተጠቃሚዎችን ለመለየት ብዙ ጥረት አድርጓል ይህም ከዚህ ቀደም ከፍተኛ የመረጃ ፍንጣቂዎች ፈጥሯል። በተለይ በማርች 2020 ኮምፓሪቴክ ከደህንነት ተመራማሪው ቦብ ዲያቼንኮ ጋር በመተባበር የተጠቃሚ መታወቂያዎችን እና ከ300 ሚሊዮን በላይ የፌስቡክ ተጠቃሚዎችን ስልክ ቁጥሮች የያዘ የመረጃ ቋት ማግኘቱን በማርች 2020 የወጣውን ፍንጣቂ ጠቁሟል።
ነገር ግን መቧጨር ሙሉ በሙሉ ህገወጥ አይደለም - ቢበዛ በቴክኖ-ህጋዊ ግራጫ ቦታ ላይም አለ ምክንያቱም ህጋዊ አጠቃቀሞችም አሉት።
"መፋቅ ከፌስቡክ የአጠቃቀም ደንቦች ጋር የሚጋጭ ቢሆንም ድርጊቱ በጥብቅ ህገወጥ አይደለም። አንዳንድ የማፍረስ ስራዎች ተንኮለኛ ናቸው፣ሌሎች ግን አካዳሚክ ወይም ጋዜጠኞች ናቸው" ሲል ቢሾፍቱ ተናግሯል።
የተፈለገ DOA
የቡግ ቦውንቲ መርሃ ግብር መስፋፋቱን አስመልክቶ ፌስቡክ ባወጣው መግለጫ፣ ከተቋቋመበት ጊዜ ጀምሮ፣ ቡግ ቦውንቲ ተነሳሽነት ከ800 በላይ ጉርሻዎችን የሰጠ ሲሆን በአጠቃላይ ከ2.3 ሚሊዮን ዶላር በላይ ለ46 ሀገራት ተመራማሪዎች ሰጥቷል። እንደ መፋቅ ያሉ "አዲስ ተግዳሮቶችን" መፍታት የፕሮግራሙ ተፈጥሯዊ ቅጥያ ነበር።
ምንም እንኳን መቧጨር ከፌስቡክ የአጠቃቀም ውል ጋር የሚቃረን ቢሆንም ህጋዊ አይደለም።
በሜታ መሰረት የተስፋፋው የሳንካ ጉርሻ ፕሮግራም የደህንነት ተመራማሪዎችን በሁለት ግንባር ይሸለማል።
አንደኛው፣ መፋቅን የበለጠ ከባድ እና ለአደጋ ተዋናዮች “ወጭ” ለማድረግ እንደ ትልቁ የደህንነት ስልቱ አካል፣ Meta በመድረክ ላይ ስላሉ ስህተቶች ሪፖርቶችን ይሸልማል፣ መጥፎ ተዋናዮች መቧጨርን ለማስወገድ የተዘረጋውን መሰናክሎች ለማለፍ ሊጠቀሙበት ይችላሉ.
በሁለተኛ ደረጃ፣ መድረኩ ቢያንስ 100, 000 ልዩ የሆኑ የፌስቡክ ተጠቃሚዎችን የተቧጨረ PII የያዙ በመስመር ላይ ስለሚገኙ ያልተጠበቁ የውሂብ ጎታዎች ለሚያሳውቁ የውሂብ ጉርሻ አዳኞችም ይሸልማል ብሏል።
"ተጠቃሚ PII የተሰረዘ መሆኑን ካረጋገጥን እና አሁን በሜታ ባልሆነ ጣቢያ ላይ በመስመር ላይ የሚገኝ ከሆነ ተገቢ እርምጃዎችን ለመውሰድ እንሰራለን፣ይህም የመረጃ ቋቱን ለማስወገድ ከሚመለከተው አካል ጋር መስራት ወይም ህጋዊ መንገድ መፈለግን ይጨምራል። ችግሩ መፈታቱን ለማረጋገጥ ለማገዝ "በማስታወቂያው ላይ ሜታ ተጠቅሷል።
አክሎም መቧጨሩ በውጫዊ ገንቢ አተገባበር ላይ ባለው የተሳሳተ ውቅር ምክንያት ከሆነ መድረኩ ከገንቢው ጋር በመስካቱ መፍሰሱን ይሰክራል። በሌላ በኩል፣ ሰርጎ ገቦች የተቦጫጨቀውን ዳታቤዝ ያኖሩበት ማስተናገጃ አገልግሎት እንዲወርድ ለማድረግ ጥረት ያደርጋል።
የጭራሹ ሽልማቶች በ500 ዶላር ይጀምራሉ፣ እና የተቧጨሩ ስህተቶች የገንዘብ ክፍያዎችን ሲያደርጉ፣ ስለተሻሩ የውሂብ ጎታዎች መረጃ ዘጋቢዎቹ ለሚመርጡት ለትርፍ ያልተቋቋሙ ድርጅቶች በበጎ አድራጎት ልገሳ መልክ ይሸለማሉ።
"እኛ እስከምናውቀው ድረስ ይህ በኢንዱስትሪው ውስጥ የመጀመሪያው scraping bug bounty ፕሮግራም ነው" ሜታ ጠቅለል አድርጎታል። አድማሱን ወደ ብዙ ታዳሚ ከማስፋትዎ በፊት ከታላላቅ ችሮታ አዳኞች የሚሰጡትን ግብረ መልስ ለመፍታት እንሰራለን።"
