Facebook擴大檢索漏洞範圍 重點看第三方平台

早在今年4月份，Facebook推出了其設立的賞金項目，只要用戶能在自家平台上發現數據濫用現象，就能輕鬆拿走最低500美元的獎金，而那些抓到了「大魚」的用戶，則可獨攬4萬美元的大獎。隨著訪問用戶數據的途徑增多，Facebook平台近期被發現諸多漏洞。對此，Facebook今日宣布，將其漏洞賞金項目擴大至第三方應用範圍。

在漏洞賞金項目擴大後，Facebook會將向報告用戶訪問令牌內漏洞的開發人員提供獎勵。所謂用戶訪問令牌，即允許用戶通過登錄Facebook直接註冊/登錄第三方應用的功能。假如這個訪問令牌落入黑客手中，他們可以未經同意獲取用戶數據。研究人員須提交概念驗證，來說明該漏洞如何可以允許黑客訪問或濫用用戶數據。Facebook將為報告提供至少500美元的獎勵，並且只關注擁有至少5萬活躍用戶的應用上發現的漏洞。

當用戶在使用有漏洞應用和網站時，Facebook通過被動查看發送至用戶的設備或從用戶設備發出的數據時發現的漏洞。對此，安全工程師丹·葛芬科（Dan Gurfinkel）表示，「如果暴露，基於用於設置的許可權，訪問令牌極有可能被濫用。我們希望給研究人員提供一個明確的渠道來報告這些重要的問題，我們也希望進我們最大的努力去保護人們的信息，即使問題源不在我們的直接掌控之下」。

在普遍情況來看，第三方應用漏洞均不在大型科技公司的賞金漏洞報告的範圍之內。不過，Facebook卻對第三方應用予以監管。一方面是，因為多年來該公司一直允許第三方應用訪問大量用戶數據且基本上沒有任何監督，其中一些應用甚至以允許其他人訪問這些數據，違反Facebook的開發者政策，最顯著的例子就是「劍橋分析」數據泄露事件；另一方面，Facebook也希望通過這樣的舉動來重新獲得用戶信任。

【本文圖片來自網路】

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！