Facebook改漏洞懸賞政策:報告平臺第三方應用可獲獎
新浪科技訊 北京時間9月18日上午訊息, Facebook 平臺上的第三方應用可訪問使用者資料,但這些應用近期被發現諸多漏洞。隨著相關批評越來越多,Facebook近日宣佈,將其漏洞賞金專案(bug bounty program)擴大至第三方應用範圍。
Facebook如今將向報告使用者訪問令牌(user access tokens)內漏洞的開發人員提供獎勵。所謂使用者訪問令牌,即允許使用者通過登入Facebook直接註冊/登入第三方應用的功能。假如這個訪問令牌落入黑客手中,他們可以未經同意獲取使用者資料。
在報告中,研究人員須提交概念驗證,來說明該漏洞如何可以允許黑客訪問或濫用使用者資料。Facebook將為報告提供至少500美元的獎勵,並且只關注擁有至少5萬活躍使用者的應用上發現的漏洞。
在宣佈這一變更的部落格文章裡,安全工程師丹·葛芬科(Dan Gurfinkel)說,Facebook將只考慮這些報告:“在使用有漏洞應用和網站時,通過被動檢視傳送至您的裝置或從您裝置發出的資料時發現的漏洞”。因此,研究人員無法建立一個開放的重定向,比如,來繞過身份驗證要求。
“如果暴露,基於用於設定的許可權,訪問令牌極有可能被濫用,”葛芬科寫道,“我們希望給研究人員提供一個明確的渠道來報告這些重要的問題,我們也希望進我們最大的努力去保護人們的資訊,即使問題源不在我們的直接掌控之下。”
通常,第三方應用漏洞均不在大型科技公司的賞金漏洞報告的範圍之內。但是Facebook仍在艱難處理使用者的反對情緒,因為多年來公司一直允許第三方應用訪問大量使用者資料且基本上沒有任何監督,其中一些應用甚至以允許其他人訪問這些資料,違反Facebook的開發者政策,最顯著的例子就是“劍橋分析”(Cambridge Analytica)資料洩露事件。
最近幾個月,一些應用如Bumble和Coffee Meet Bagel等,也向使用者提供了Facebook身份驗證之外的其他登入選項——以迴應他們所說的使用者對使用Facebook登入越來越不放心一事。因此,Facebook必須對第三方應用予以監管以重新獲得使用者信任。
Facebook最近也推出了修訂的應用審查流程,旨在清理訪問超出其本身所需的使用者資料的第三方應用。(小白)