Meta cherche à étendre ses mesures de détection sur l’utilisation abusive potentielle des données des utilisateurs en ajoutant nouvelles récompenses pour les éléments de grattage de données dans son programme Bug Bounty.
Le grattage des données, qui consiste à extraire les données des utilisateurs de sites Web, a été un élément clé dans divers piratages et expositions aux données des utilisateurs, Meta lui-même souffrant de certains de ses plus gros problèmes de relations publiques en raison de l’utilisation non approuvée des informations sur les données des utilisateurs.
Comme expliqué par Méta:
“Nous savons que l’activité automatisée conçue pour extraire les données publiques et privées des personnes cible chaque site Web ou service. Nous savons également qu’il s’agit d’un espace hautement conflictuel où les scrapers – qu’il s’agisse d’applications malveillantes, de sites Web ou de scripts – adaptent constamment leurs tactiques pour échapper à la détection en réponse aux défenses que nous construisons et améliorons. Dans le cadre de notre stratégie de sécurité plus large visant à rendre le grattage plus difficile et plus coûteux pour les attaquants, nous commençons aujourd’hui à récompenser les rapports valides de grattage de bogues sur notre plate-forme.“
Le nouveau programme verra les chercheurs d’applications offrir des récompenses pour avoir alerté Meta des mesures de grattage des données, “même si les données qu’ils ciblent sont publiques”.
Ce qui est intéressant, car à l’heure actuelle, dans l’état actuel des choses, le grattage de données publiques sur des sites Web n’est pas techniquement illégal, ou du moins, il existe un précédent juridique permettant à des tiers d’extraire des données publiques sans enfreindre la loi. .
LinkedIn a été devant les tribunaux depuis plusieurs années luttant contre une entreprise appelée hiQ, qui avait construit un recrutement outil d’insights basé sur les données de profil LinkedIn grattées.
LinkedIn a d’abord cherché à bloquer l’accès de hiQ à ses données utilisateur en 2017, et depuis lors, à travers diverses affaires judiciaires, hiQ a remporté plusieurs défis qui lui ont permis de continuer à accéder aux données publiques de LinkedIn, en faisant valoir que ces informations sont bien publiques, et donc librement accessible.
LinkedIn a porté l’affaire devant la Cour suprême, et plus tôt cette année, il a eu la possibilité de contester à nouveau la décision hiQ. L’affaire est toujours en cours, mais elle souligne les défis liés à la définition de la propriété, ou de l’intention de l’utilisateur, en ce qui concerne les données accessibles au public.
Pour sa part, Meta a rendu les données des utilisateurs de moins en moins accessibles au fil du temps, et encore plus à la suite du scandale Cambridge Analytica, mais il est intéressant de noter que Meta note ici que même le grattage de données accessibles au public sera pris en compte dans sa nouvelle prime. programme.
« Plus précisément, nous cherchons à trouver des bogues qui permettent aux attaquants de contourner les limitations de grattage pour accéder aux données à une plus grande échelle que le produit prévu. Notre objectif est d’identifier et de contrer rapidement les scénarios qui pourraient rendre le scraping moins coûteux à exécuter pour les acteurs malveillants. »
La véritable poussée ici est sur l’activité de grattage de données à grande échelle et la lutte contre les groupes qui cherchent à utiliser les données des utilisateurs pour des moyens que les utilisateurs n’ont pas explicitement acceptés. Car encore une fois, comme pour Cambridge Analytica, cela peut causer des problèmes de relations publiques majeurs pour Meta, et apporter plus de contrôle sur ses pratiques.
Ce qui est une bonne étape, Meta devrait faire tout son possible pour protéger les données des utilisateurs et s’assurer que les pirates ne volent pas vos informations et ne les vendent pas sur le dark web. Mais en même temps, il sera intéressant de voir comment Meta applique cela une fois qu’il est alerté de ces programmes via le Bug Bounty.
Meta dit qu’il offrira également désormais des récompenses pour toute découverte d’ensembles de données utilisateur accessibles au public :
«Nous récompenserons les rapports de bases de données non protégées ou ouvertement publiques contenant au moins 100 000 enregistrements d’utilisateurs Facebook uniques avec des informations personnelles ou des données sensibles (par exemple, e-mail, numéro de téléphone, adresse physique, affiliation religieuse ou politique). L’ensemble de données signalé doit être unique et non connu ou signalé auparavant à Meta. Nous visons à tirer des leçons de cet effort afin de pouvoir étendre la portée à des ensembles de données plus petits au fil du temps.“
Bien que dans ces situations, Meta n’offrira pas de récompenses en espèces directes aux chercheurs, mais fera plutôt des dons à l’association caritative du choix du découvreur.
Pourquoi? Parce que si Meta offrait des récompenses en espèces pour les découvertes de grands ensembles de données d’utilisateurs, cela pourrait également inciter les pirates informatiques à créer ces ensembles de données en premier lieu, pour ensuite réclamer l’argent.
Meta émettra cependant des récompenses monétaires pour des rapports valides sur la suppression de bogues, conformément à d’autres divulgations dans le cadre de son programme Bug Bounty.
Cela pourrait être un bon moyen d’aider Meta à protéger les données des utilisateurs, et avec plus de 25 000 rapports Bug Bounty en 2021, il y a clairement beaucoup d’intérêt à participer, ce qui pourrait considérablement étendre le site Web de détection de l’entreprise pour une telle utilisation abusive.
Cela pourrait jouer un rôle important dans l’arrêt de la prochaine grande fuite de données sur Facebook et aider l’entreprise à rétablir sa réputation à long terme.