Facebook改漏洞悬赏政策:报告平台第三方应用可获奖

  • 时间:
  • 浏览:0

北京时间9月18日上午消息,Facebook平台上的第三方应用可访问用户数据,但那些应用近期被发现诸多漏洞。随着相关批评太多,Facebook近日提前大选,将其漏洞赏金项目(bug bounty program)扩大至第三方应用范围。

Facebook如今将向报告用户访问令牌(user access tokens)内漏洞的开发人员提供奖励。所谓用户访问令牌,即允许用户通过登录Facebook直接注册/登录第三方应用的功能。假如有一天這個 访问令牌落入黑客面前,亲戚亲戚朋友都还上能未经同意获取用户数据。

在报告中,研究人员须提交概念验证,来说明该漏洞怎么才能 才能 都还上能允许黑客访问或滥用用户数据。Facebook将为报告提供大约10000美元的奖励,就让只关注拥有大约6万活跃用户的应用上发现的漏洞。

在提前大选這個 变更的博客文章里,安全工程师丹·葛芬科(Dan Gurfinkel)说,Facebook将只考虑那些报告:“在使用有漏洞应用和网站时,通过被动查看发送至您的设备或从您设备发出的数据时发现的漏洞”。就让,研究人员无法创建另一另有一个开放的重定向,比如,来绕过身份验证要求。

“就让暴露,基于用于设置的权限,访问令牌极有就让被滥用,”葛芬科写道,“亲戚亲戚朋友儿希望给研究人员提供另一另有一个明确的渠道来报告那些重要的现象,亲戚亲戚朋友儿也希望进亲戚亲戚朋友儿最大的努力去保护亲戚亲戚朋友的信息,即使现象源越来越了亲戚亲戚朋友儿的直接掌控之下。”

通常,第三方应用漏洞均越来越了大型科技公司的赏金漏洞报告的范围之内。就让Facebook仍在艰难补救用户的反对情绪,就让多年来公司一直允许第三方应用访问絮状用户数据且基本上越来越 任何监督,其中或多或少应用甚至以允许被委托人访问那些数据,违反Facebook的开发者政策,最显著的例子要是“剑桥分析”(Cambridge Analytica)数据泄露事件。

最近几只月,或多或少应用如Bumble和Coffee Meet Bagel等,也向用户提供了Facebook身份验证之外的或多或少登录选项——以提前大选亲戚亲戚朋友所说的用户对使用Facebook登录越来越 不放心一事。就让,Facebook只能对第三方应用予以监管以重新获得用户信任。

Facebook最近也推出了修订的应用审查流程,旨在清理访问超出其有一种所需的用户数据的第三方应用。