Facebook 改漏洞悬赏政策:报告平台第三方应用可获奖

北京时间9月18日上午消息,Facebook平台上的第三方应用可访问用户数据,但这些应用近期被发现诸多漏洞。随着相关批评越来越多,Facebook近日宣布,将其漏洞赏金项目(bug bounty program)扩大至第三方应用范围。

Facebook如今将向报告用户访问令牌(user access tokens)内漏洞的开发人员提供奖励。所谓用户访问令牌,即允许用户通过登录Facebook直接注册/登录第三方应用的功能。假如这个访问令牌落入黑客手中,他们可以未经同意获取用户数据。

在报告中,研究人员须提交概念验证,来说明该漏洞如何可以允许黑客访问或滥用用户数据。Facebook将为报告提供至少500美元的奖励,并且只关注拥有至少5万活跃用户的应用上发现的漏洞。

在宣布这一变更的博客文章里,安全工程师丹·葛芬科(Dan Gurfinkel)说,Facebook将只考虑这些报告:“在使用有漏洞应用和网站时,通过被动查看发送至您的设备或从您设备发出的数据时发现的漏洞”。因此,研究人员无法创建一个开放的重定向,比如,来绕过身份验证要求。

“如果暴露,基于用于设置的权限,访问令牌极有可能被滥用,”葛芬科写道,“我们希望给研究人员提供一个明确的渠道来报告这些重要的问题,我们也希望进我们最大的努力去保护人们的信息,即使问题源不在我们的直接掌控之下。”

通常,第三方应用漏洞均不在大型科技公司的赏金漏洞报告的范围之内。但是Facebook仍在艰难处理用户的反对情绪,因为多年来公司一直允许第三方应用访问大量用户数据且基本上没有任何监督,其中一些应用甚至以允许其他人访问这些数据,违反Facebook的开发者政策,最显著的例子就是“剑桥分析”(Cambridge Analytica)数据泄露事件。

最近几个月,一些应用如Bumble和Coffee Meet Bagel等,也向用户提供了Facebook身份验证之外的其他登录选项——以回应他们所说的用户对使用Facebook登录越来越不放心一事。因此,Facebook必须对第三方应用予以监管以重新获得用户信任。

Facebook最近也推出了修订的应用审查流程,旨在清理访问超出其本身所需的用户数据的第三方应用。

添加收藏

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏云计算D1net

关于云安全的三个鲜为人知的秘密

如今,许多首席信息安全官呼吁人们需要正视云计算的安全需求。然而,尽管大家都有着共同的关注点,但采取的方法却各不相同;有些人呼吁在服务器方面做好防护工作,而另一些...

3557
来自专栏WeTest质量开放平台团队的专栏

“战术竞技类”外挂打击已开始!揭秘腾讯We Test游戏安全服务新动作!

商业转载请联系腾讯WeTest获得授权,非商业转载请注明出处。

3790

Apache CloudStack社区分析

编者按:这篇文章的内容最初由Sebastien Goasguen发表在在Build a Cloud博客上。

2216

云安全问题(第2部分):从何处下手

上周,我们发布了两部分文章的第1部分,介绍公司可以采用低悬挂的最佳安全方法来改善他们的安全状况。由于安全不再仅仅是安全专家的领域,因此公司中的每个人不管身居何职...

2299
来自专栏WeTest质量开放平台团队的专栏

“战术竞技类”游戏外挂打击已开始!WeTest正式接入安全服务MTP

11月22日,腾讯官方宣布正式与PUBG公司达成战略合作,获得《Playerunknown's Battlegrounds》(以下简称《PUBG》)在中国的独家...

981
来自专栏walterlv - 吕毅的博客

程序员与英语:即时聊天中的英语缩写 lol / lmao / idk

2018-07-21 07:00

1371
来自专栏安智客

等级保护2.0之移动互联安全要求、设计

为什么要对《信息安全技术 网络安全等级保护基本要求》系列标准进行修改呢?还不是因为移动互联网的快速发展,导致原有的标准不适应新的要求!从这个侧面来说,等级保护2...

1822
来自专栏喔家ArchiSelf

IoT云服务连接性的方式

物联网(IoT)的开发者可以选择很多方法来创建与物联网云服务的连接,每一个都有不同的优劣权衡。 怎么知道哪个选择是较好的呢?

2234
来自专栏BestSDK

想让API“货币化”,走对这6步很重要

API市场解决的通常不只是开发者门户及API管理的其他技术方面的问题,还包括为保证API达成初衷——促进API的消费和使用——而产生的企业和人两个方面的问题。 ...

3638
来自专栏Java架构

高效程序员如何优雅落地需求总体介绍大数据系统的架构图第三代系统架构第四代系统架构

7128

扫码关注云+社区

领取腾讯云代金券