Meta宣布改进其bug赏金计划,开出两个新的bug奖励领域,分别是资料抓取漏洞以及未受保护的脸书用户资料集,同时还要提供研究人员进一步教育机会。
因为资料爬虫普遍存在于互联网之中,而Meta在打击爬虫行为的工作面临困难,所以他们试图通过bug赏金计划,解决爬虫对Meta平台造成的影响。因此在Meta Gold HackerPlus研究人员的私人赏金计划中,bug赏金计划将会奖励有关爬虫漏洞的回应。
这项计划的目标,是要找出攻击者会用来绕过抓取限制,进而访问比预期更大规模资料的漏洞,使得Meta能够快速识别,并且找出能低成本执行资料抓取的场景,官方提到,这是目前业界第一个爬虫漏洞赏金计划。
另外,扩大的赏金计划,还包含添加奖励寻找未受保护或公开的脸书用户公共资料集,Meta要安全研究人员帮忙寻找包含10万笔以上,不重复的脸书用户记录资料集,资料包括电子邮件、电话号码、实际地址、宗教或政治倾向等信息。安全人员必须回应独特、过去Meta未曾发现过的资料集,官方提到,他们会与相关实体合作,致力删除该资料集,并通过法律途径解决问题。
不过在资料集寻找的奖励上,Meta会以慈善捐赠的形式,向特定的非营利组织捐赠奖励,官方提到,这个做法是为了避免错误奖励资料爬虫活动。
考量bug赏金计划长久发展,Meta想通过提供教育,扩大这些安全研究人员能够涵盖的领域,官方提到,部分长期合作的研究人员向他们反映希望能够获得教育训练,来扩大研究的范围,特别是部分难以跨越的领域,像是软件到硬件的bug搜索。
Meta从自家年度赏金会议BountyCon中获得灵感,他们发现研究人员共同提交bug时,能够发现更严重的bug,并且相互了解各自擅长的领域,为了支持这种团队合作和学习,Meta在今年度推出了研究人员协作计划,接着还要在今年稍晚时候,推出专门的教育中心,协助bug赏金研究人员快速了解不同产品和技术,缩短他们寻找新漏洞需要的时间。