Facebook's penny-pinching bug bounties padarīt hackers labāk pie tumšā puse - Sociālie Mēdiji - 2019

Anonim

Jūsu privātums ir vērtīgs; vismaz tas ir tas, ko mēs visi gribētu domāt. Patiesībā mēs secinām, ka arvien biežāk mūsu dati tiek pārdoti augstākā pretendenta piedāvājumam, un šķiet, ka mums varētu būt vēl viens piemērs.

Bet, kad jūs domājat par Facebook, sociālajam tīklam ir mazāk nekā zvaigžņu sekas, kad runa ir par drošību. Hackers izmanto platformu - galvenokārt tādēļ, ka 1, 1 miljards lietotāju ir atkarīgi no vietas - pa kreisi un pa labi, poking un prodding no neskaitāmas virzienos, lai gūtu peļņu no datiem, ka tā ir noplūde. Tātad, ja kāds Whitehat hakeris brīdina sociālo tīklu par nopietnu drošības problēmu, kas varētu nozīmēt kāda lietotāja konta pārņemšanu vai pat paroles atiestatīšanu, jūs domājat, ka Facebook būtu pateicīgs. Uzņēmējs Yvo Schaap, kuru es intervēja pagājušajā gadā, kad viņa hacks Erqqvg.com un Viseddit padarīja Reddit pirmajā lapā, nepiekristu.

Schaap paskaidroja emuāra ziņā, ka viņš nejauši atrada "lielu drošības aizsardzību" ne vienreiz, bet divreiz. Otrā reize, kas notika pēc tam, kad sociālais tīkls 2011.gadā ieviesa "Bug Bounty" 2011. gadā, lai maksātu "beatheat" hakeriem par viņu izmantotajiem Facebook lietotājiem, viņš paskaidro, ka atklājis kļūdu, kas viņam ļāva pakļaut ikviena privāto informāciju (ieskaitot ierobežotos kontus). Viņš saka, ka viņš to darīja ", lecot dažus stīpļus, izmantojot gudrību, zondējot apak šdomenus un ejot pa regex." Tas ir programmētājs kods "pārāk viegli".

Pietiks tikai teikt, ka šis atklājums - spēja mainīt informāciju par kāda lietotāja Facebook kontu - bija liela pieredze Facebook sistēmā. Viņš var piekļūt kādas citas personas informācijai, tostarp e-pasta adreses nosaukumam, bet vēl svarīgāk mainīt viņu paroli, visu no Schaap paša domēna.

Tagad tas, par ko viņam ir neērti, ir niecīgā vērtība, ko Facebook ir izmantojis.

Atmaksa, ko jūs saņemat no Facebook, lai atklātu drošības ievainojamību, tiešām atbilst Facebook. Saskaņā ar Facebook baltās cepuru lapu minimālā balva ir 500 ASV dolāru, un tā piebilst: "Maksimālā atlīdzība nav." Un persona, kas atklāj padomu, tiks pievienota tās gada kredītlīnijai.

"Pēc apstiprinājuma, mana atklāšana par lietotāju, kas piekļūst lietotāja kontam, tika piešķirta ar summu … $ 4 500. Jauka dienas nauda, ​​bet neliela maksa par to, ka norādīts, ka sociālais tīkls, kurā atrodas personas dati, ir drošs vairāk nekā miljards cilvēku, "viņš paskaidro.

4, 500 ASV dolāri var izklausīties jaukā peļņa no mūsu nerātnētājiem, bet kaut ko tik lielā mērā tas ir mainījies. Black Hat Hacker grupas "The Happy Ninjas" biedrs nobijās par to, cik daudz Facebook bija gatavs maksāt par ievainojamībām. Kā tas nākas? Viņš apgalvo, ka, ja jūs atradīsit nulles dienu neaizsargātību Facebook tīklā, šis lietotājs varētu pārdot apmēram $ 800 000 melnajā tirgū. "Mēs varam piešķirt 1 miljonu ASV dolāru tik daudzos veidos, pat nepārdodot", viņš piebilst.

Pat tāds lietotājs kā Schaap, kurš atradies, var ielādēt kaut ko piecos ciparos.

Jautājumā par to, kā Facebook nosaka viņa izmantotajai vērtībai piešķirto vērtību, Facebook preses sekretārs atbildēja: "Ir svarīgi atzīmēt, ka mums ir minimāls, bet ne maksimālais apjoms, un mūsu maksājumus nosaka ne tikai kļūdas smagums, bet arī vairāki citi faktori, tostarp ziņojuma kvalitāte, kuru mēs saņemam, un pati kļūda. "

Jūs varētu apgalvot, ka baltā cepure hakeriem būtu jādara šis pētījums par sabiedrisko pakalpojumu, nevis par naudu, taču, ņemot vērā to, ka daudzi no viņiem veido vai papildina viņu iztikas līdzekļus šādā veidā, nauda ir svarīga.

Tas varētu arī izskaidrot, kāpēc 2013. gadā tika ieskaitīti tikai 66 cilvēki, lai atklātu Facebook neaizsargātību. Happy Ninjas saka, ka Facebook ir ārkārtīgi neaizsargāta pret uzbrukumiem, ja jūs zināt, kā un kur uzbrukt, tāpēc jums jābrīnās, cik daudz izmanto par to nav ziņots, un tiek apmainīti pazemē simtiem tūkstošu, ja ne miljoniem dolāru.