Bug-Bounty Programm bei Meta gegen Data Scraping

Bug-Bounty Programm bei Meta gegen Data Scraping
logo des Meta Konzerns

Meta erweitert sein Bug-Bounty-Programm, um Forscher zu belohnen, die Data Scraping melden. Die Änderung ermöglicht es Forschern, sowohl Fehler zu melden, die Scraping-Aktivitäten ermöglichen könnten, als auch zuvor gescrapte Daten, die bereits online veröffentlicht wurden.

In einem Blog-Beitrag erklärt Meta, dass es glaubt, das erste Unternehmen zu sein, das ein Bug-Bounty-Programm startet, das speziell auf Scraping-Aktivitäten abzielt. „Wir suchen nach Schwachstellen, die es Angreifern ermöglichen, Scraping-Beschränkungen zu umgehen, um in größerem Umfang auf Daten zuzugreifen, als wir ursprünglich beabsichtigt hatten“, erklärte Dan Gurfinkle, Security Engineering Manager, während eines Briefings.

Data Scraping unterscheidet sich von anderen „bösartigen“ Aktivitäten, die Meta aufspürt, da es automatisierte Tools verwendet, um massenhaft persönliche Informationen aus Nutzerprofilen zu sammeln, wie E-Mail-Adressen, Telefonnummern, Profilfotos und andere Details. Auch wenn die Nutzer diese Informationen oft freiwillig auf ihren öffentlichen Facebook-Profilen veröffentlichen, können Scraper diese Details weiter verbreiten, indem sie die Informationen beispielsweise in durchsuchbaren Datenbanken veröffentlichen.

Auch für Meta kann es schwierig sein, diese Aktivitäten zu bekämpfen. So wurden beispielsweise im April die persönlichen Daten von mehr als 500 Millionen Facebook-Nutzern in einem Forum veröffentlicht. In diesem Fall lag der eigentliche Datenabgriff bereits Jahre zurück Cund das Unternehmen hatte den zugrunde liegenden Fehler bereits behoben. Doch als die Daten online zirkulierten, konnte das Unternehmen nur noch wenig tun. In einigen Fällen hat das Unternehmen auch Einzelpersonen wegen Datensammelns verklagt.

Im Rahmen des neuen Bug-Bounty-Programms werden Forscher für das Auffinden von „ungeschützten oder öffentlich zugänglichen Datenbanken mit mindestens 100.000 eindeutigen Facebook-Nutzerdatensätzen mit PII [persönlich identifizierbaren Informationen] oder sensiblen Daten (z. B. E-Mail, Telefonnummer, Adresse, religiöse oder politische Zugehörigkeit)“ belohnt. Anstelle der üblichen Auszahlungen spendet Meta jedoch an eine vom Forscher gewählte Wohltätigkeitsorganisation, um keinen Anreiz für die Veröffentlichung von abgegriffenen Daten zu schaffen.

Bei Meldungen von Fehlern, die zu Datenabschürfungen führen können, können die Forscher zwischen einer Spende oder einer direkten Auszahlung wählen. Meta sagt, dass jeder Fehler oder jeder Datensatz für eine Prämie von mindestens 500 Dollar in Frage kommt.

Quelle: Engadget