Meta hat angekündigt, dass es Leute belohnen wird, die den Diebstahl von Facebook-Benutzerdaten melden, die heimlich von bösen Akteuren abgekratzt wurden. Das Unternehmen wird auch die Entdeckung von Fehlern belohnen, die in erster Linie zu Daten-Scraping führen, was ziemlich normal ist. Daten-Scraping ist weit verbreitet, und die Benutzerinformationen, die von böswilligen Parteien durch einfaches Ausführen eines Webskripts oder Seeding einer kompromittierten App gesammelt werden, können auf dem Schwarzmarkt einen hohen Preis erzielen.
Der abgekratzte Datensatz, der alles von Namen und Telefonnummern bis hin zu E-Mail-Adressen und Finanzdaten enthalten kann, kann für gezielte Werbung, Erpressung und viele andere Übel verwendet werden. Allein im Jahr 2021 enthüllten Facebook und LinkedIn Datendiebstahl, von dem über eine halbe Milliarde Nutzer auf jeder Plattform betroffen waren. Es scheint, dass Facebook die Kopfschmerzen beim Daten-Scraping endgültig lösen möchte, indem es eine Belohnung baumelt.
Meta sagt Sein Bug-Bounty-Programm deckt nun auch verifizierbare Berichte über Daten-Scraping ab, die mindestens 100.000 einzelne Facebook-Benutzerdatensätze betreffen. Die ausgelesenen Daten müssen jedoch personenbezogene Daten (PII) wie E-Mail-Adressen, Handynummern, Wohnadressen, religiöse Neigungen und politische Zugehörigkeit enthalten. Darüber hinaus müssen die erfassten Daten online oder auf einer Website verfügbar sein, die nicht im Besitz von Meta, der neu umbenannten Muttergesellschaft von Facebook, ist. Was das Kopfgeld angeht, sagt Facebook, dass es für jeden gemeldeten Scraping-Bug oder Datensatz eine Mindestprämie von 500 US-Dollar austeilen wird.
Was Scraped-Daten anbelangt, so könnte der Datensatz aus verschiedenen Quellen extrahiert worden sein. In einigen Fällen wird eine große Menge an Benutzerdaten gesammelt, wenn Konfigurationsfehler mit Anwendungs-APIs von Drittanbietern vorliegen. In solchen Fällen wird sich Facebook umgehend mit den Entwicklern in Verbindung setzen, um das Leck zu schließen. In Szenarien, in denen die geschabten Daten woanders gehostet werden, fordert Facebook die jeweilige File-Sharing- oder Cloud-Speicherplattform auf, alles offline zu nehmen. Fehlkonfigurierte S3-Buckets auf Amazon Web Services haben bereits 2o21 bisher zu einigen schwerwiegenden Datenlecks geführt. Ein Leck im S3-Eimer der türkischen Schönheitsmarke Cosmolog Kozmetik hat die Daten von fast einer halben Million Benutzern preisgegeben InfoSicherheit. Es gibt jedoch einen Vorbehalt, wenn es darum geht, den Preis anzugeben.
Bei Berichten zu ausgekratzten Datensätzen Meta sagt, dass es sie in Form von Wohltätigkeitsspenden an gemeinnützige Organisationen belohnen wird, die vom Forscher hinter der Entdeckung ausgewählt wurden. Facebook sagt, es tue, um sicherzustellen, dass es nicht zu Scraping-Angriffen ermutigt. Entdeckt ein Cybersicherheitsexperte jedoch einen Scraping-Bug, werden die Bemühungen mit einem Gehaltsscheck belohnt, wie es bei der Aufdeckung von Schwachstellen in anderen Facebook-Systemen der Fall ist. Dabei ist zu beachten, dass das oben beschriebene Data Scraping Bounty nur Facebook und nicht Schwesterplattformen wie Instagram oder WhatsApp umfasst. Instagram ist nicht gerade immun gegen Datenlecks, und mit angeblich 2 Milliarden Nutzern sind die Risiken höher denn je.
Quellen: Meta, InfoSicherheit