Facebook的bug赏金计划现在将接受第三方应用程序的报告

Facebook今天宣布，它正在扩大其漏洞赏金计划，因为该公司面临越来越多的批评。

这家社交媒体巨头现在将为报告用户访问令牌中的漏洞的开发人员提供奖励，该功能允许用户通过登录Facebook登录第三方应用程序，并决定应用程序可以访问哪些Facebook信息。如果该访问令牌落入黑客的手中，他们就可以访问用户不打算与该应用程序之外的任何人共享的数据。

在宣布变更的博客文章中，安全工程师Dan Gurfinkel表示，Facebook将只考虑报告“如果通过被动查看使用易受攻击的应用程序或网站时发送到您设备或从您的设备发送的数据来发现错误。”因此研究人员无法创建例如，打开重定向以绕过身份验证要求。

在他们的报告中，研究人员必须提交概念验证，以显示漏洞如何允许黑客访问或滥用用户数据。Facebook将为报告奖励至少500美元，并且只会查看具有至少50,000个活跃用户的应用程序的漏洞。

“如果暴露，基于用户设置的权限，可能会滥用令牌，”Gurfinkel写道。“我们希望研究人员有明确的渠道来报告这些重要问题，我们希望尽自己的力量来保护人们的信息，即使错误的来源不在我们的直接控制之下。”

一般而言，大型科技公司一直认为第三方应用程序不属于他们的bug赏金报告范围。但Facebook仍在处理用户反馈，多年来允许第三方应用程序访问大量用户数据而几乎没有监督，其中一些通过让其他方访问该数据而违反Facebook的开发者政策，最值得注意的例子是剑桥Analytica。

最近几个月，一些应用程序，如Bumble和Coffee Meets Bagel，也为用户提供了Facebook身份验证之外的其他登录选项，响应他们所说的增加用户对使用Facebook登录的担忧。因此，Facebook必须概述如何监控第三方应用以恢复用户信任。

该公司最近还完成了一个修订的应用程序审核流程，旨在淘汰可以访问超出所需用户数据的第三方应用程序。