首页 | 滚动 | 国内 | 国际 | 运营 | 制造 | 终端 | 监管 | 原创 | 业务 | 技术 | 报告 | 博客 | 特约记者
手机 | 互联网 | IT | 5G | 光通信 | LTE | 云计算 | 三网融合 | 芯片 | 电源 | 虚拟运营商 | 测试 | 移动互联网 | 会展
首页 >> 快讯 >> 正文

Facebook改漏洞悬赏政策:报告平台第三方应用可获奖

2018年9月18日 09:13  新浪科技  

北京时间9月18日上午消息,Facebook平台上的第三方应用可访问用户数据,但这些应用近期被发现诸多漏洞。随着相关批评越来越多,Facebook近日宣布,将其漏洞赏金项目(bug bounty program)扩大至第三方应用范围。

Facebook如今将向报告用户访问令牌(user access tokens)内漏洞的开发人员提供奖励。所谓用户访问令牌,即允许用户通过登录Facebook直接注册/登录第三方应用的功能。假如这个访问令牌落入黑客手中,他们可以未经同意获取用户数据。

在报告中,研究人员须提交概念验证,来说明该漏洞如何可以允许黑客访问或滥用用户数据。Facebook将为报告提供至少500美元的奖励,并且只关注拥有至少5万活跃用户的应用上发现的漏洞。

在宣布这一变更的博客文章里,安全工程师丹·葛芬科(Dan Gurfinkel)说,Facebook将只考虑这些报告:“在使用有漏洞应用和网站时,通过被动查看发送至您的设备或从您设备发出的数据时发现的漏洞”。因此,研究人员无法创建一个开放的重定向,比如,来绕过身份验证要求。

“如果暴露,基于用于设置的权限,访问令牌极有可能被滥用,”葛芬科写道,“我们希望给研究人员提供一个明确的渠道来报告这些重要的问题,我们也希望进我们最大的努力去保护人们的信息,即使问题源不在我们的直接掌控之下。”

通常,第三方应用漏洞均不在大型科技公司的赏金漏洞报告的范围之内。但是Facebook仍在艰难处理用户的反对情绪,因为多年来公司一直允许第三方应用访问大量用户数据且基本上没有任何监督,其中一些应用甚至以允许其他人访问这些数据,违反Facebook的开发者政策,最显著的例子就是“剑桥分析”(Cambridge Analytica)数据泄露事件。

最近几个月,一些应用如Bumble和Coffee Meet Bagel等,也向用户提供了Facebook身份验证之外的其他登录选项——以回应他们所说的用户对使用Facebook登录越来越不放心一事。因此,Facebook必须对第三方应用予以监管以重新获得用户信任。

Facebook最近也推出了修订的应用审查流程,旨在清理访问超出其本身所需的用户数据的第三方应用。(小白)

编 辑:值班记者
免责声明:刊载本文目的在于传播更多行业信息,不代表本站对读者构成任何其它建议,请读者仅作参考,更不能作为投资使用依据,请自行核实相关内容。
相关新闻              
 
人物
2018年9月15日,中国电信董事长杨杰在2018世界物联网博览会无..
精彩专题
MWC 2018世界移动大会
中兴通讯2018年MWC专题
中兴通讯年终5G盘点
飞象网2017年度手机评选
CCTIME推荐
关于我们 | 广告报价 | 联系我们 | 隐私声明 | 本站地图
CCTIME飞象网 CopyRight © 2007-2017 By CCTIME.COM
京ICP备08004280号  电信与信息服务业务经营许可证080234号 京公网安备110105000771号
公司名称: 北京飞象互动文化传媒有限公司
未经书面许可,禁止转载、摘编、复制、镜像