Meta正在扩展其漏洞赏金计划,以包括报告数据抓取的研究人员。这一变化将允许研究人员报告启用抓取的漏洞,以及以前在网上发布的抓取数据。在一篇博文中,Meta表示,该公司应该是业内第一个专门针对抓取活动推出赏金的公司。安全工程经理DanGurfinkle在简报中说:“我们正在寻找允许攻击者绕过抓取限制并获得比预期更多数据的漏洞。”与跟踪其他“恶意”活动不同,数据抓取使用自动化工具从用户个人资料中批量收集个人信息,例如电子邮件地址、电话号码、个人资料图片和其他详细信息。虽然用户通常愿意在他们的公共Facebook个人资料中分享这些信息,但爬虫可以更广泛地公开这些细节,例如将它们发布在可搜索的数据库中。Meta公司也很难打击这种活动。例如,4月份,超过5亿Facebook用户的个人信息被发布在一个论坛上。在这种情况下,实际的数据抓取发生在几年前,公司已经解决了潜在的缺陷。但是一旦数据开始在网上流通,它就无能为力了。在某些情况下,该公司还起诉个人窃取数据。根据新的漏洞赏金计划,发现“未受保护或公共数据库包含至少100,000条带有PII(个人身份信息)或敏感数据(例如电子邮件、电话号码、实际地址、宗教或独特的Facebook用户政治记录)的记录的研究人员隶属关系)将得到奖励。”然而,Meta表示,它会向研究人员选择的慈善机构捐款,而不是像往常一样支付,以避免激励发布被抓取的数据。
