Meta扩大漏洞悬赏计划，抓取数据也可以获得赏金

据The Hacker News消息，全球最大的在线社交网络公司（前身是 Facebook）Meta宣布进一步扩大漏洞悬赏计划，除了原有的报告漏洞可获得赏金外，数据抓取也被列入赏金计划之中。

这是Meta首次将数据抓取纳入悬赏计划，也是业内首个为数据抓取启动悬赏的企业。

Meta 的安全工程经理 Dan Gurfinkel表示，当下，自动化数据抓取十分普遍，是每个网站都挥之不去的噩梦。这是一个高强度的对抗行为，自动化数据抓取者会不断更换他们的“武器”，包括恶意软件、自动化脚本、钓鱼网站等等，用来规避官方的检测和打击。

为此，Meta开始转换思路，他们开始主动寻找那些能够绕过防御的数据抓取者，寻找那些暴露在互联网上的“数据”。

根据Meta的赏金计划规则，只要研究人员找到“未受保护或公开的数据库，其中包含不少于 100,000 个独特的 Facebook 用户记录以及个人身份信息 (PII)，例如电子邮件、电话号码、实际地址、宗教或政治背景等信息。注意的是，报告的数据库必须是唯一且以前未暴露的。”那么发现者就可以获得相应的奖金，

不过，这部分奖金并不是像以往一样直接打给个人，而是会定向向研究人员指定的慈善机构捐钱，以免出现刺激白帽黑客大幅抓取数据的行为。

Meta会对提交的数据进行评估，如果满足公司既定的标准，那么公司会采取相应的措施，包括采取法律行动、从非 Meta 网站上删除数据等。其中可能还涉及与 Amazon、Box 和 Dropbox等托管服务商联系离线数据库，或与第三方应用程序开发人员合作解决服务器配置错误等。

Meta表示，该计划自启动以来，已支付了超过1400万美元的奖金，仅2021年，就有230万美元奖励给了超过46个国家的研究人员。

参考来源

https://thehackernews.com/2021/12/facebook-to-pay-hackers-for-reporting.html