北京时间 9 月 18 日上午消息,Facebook 平台上的第三方应用可访问用户数据,但这些应用近期被发现诸多漏洞。随着相关批评越来越多,Facebook 近日宣布,将其漏洞赏金项目(bug bounty program)扩大至第三方应用范围。
Facebook 如今将向报告用户访问令牌(user access tokens)内漏洞的开发人员提供奖励。所谓用户访问令牌,即允许用户通过登录 Facebook 直接注册/登录第三方应用的功能。假如这个访问令牌落入黑客手中,他们可以未经同意获取用户数据。
在报告中,研究人员须提交概念验证,来说明该漏洞如何可以允许黑客访问或滥用用户数据。Facebook 将为报告提供至少 500 美元的奖励,并且只关注拥有至少 5 万活跃用户的应用上发现的漏洞。
在宣布这一变更的博客文章里,安全工程师丹 葛芬科(Dan Gurfinkel)说,Facebook 将只考虑这些报告: 在使用有漏洞应用和网站时,通过被动查看发送至您的设备或从您设备发出的数据时发现的漏洞 。因此,研究人员无法创建一个开放的重定向,比如,来绕过身份验证要求。
如果暴露,基于用于设置的权限,访问令牌极有可能被滥用, 葛芬科写道, 我们希望给研究人员提供一个明确的渠道来报告这些重要的问题,我们也希望进我们最大的努力去保护人们的信息,即使问题源不在我们的直接掌控之下。
通常,第三方应用漏洞均不在大型科技公司的赏金漏洞报告的范围之内。但是 Facebook 仍在艰难处理用户的反对情绪,因为多年来公司一直允许第三方应用访问大量用户数据且基本上没有任何监督,其中一些应用甚至以允许其他人访问这些数据,违反 Facebook 的开发者政策,最显著的例子就是 剑桥分析 (Cambridge Analytica)数据泄露事件。
最近几个月,一些应用如 Bumble 和 Coffee Meet Bagel 等,也向用户提供了 Facebook 身份验证之外的其他登录选项 以回应他们所说的用户对使用 Facebook 登录越来越不放心一事。因此,Facebook 必须对第三方应用予以监管以重新获得用户信任。
Facebook 最近也推出了修订的应用审查流程,旨在清理访问超出其本身所需的用户数据的第三方应用。
