Facebook扩大检索漏洞范围 重点看第三方平台

时间 : 18-10-29 栏目 : ag捕鱼游戏 作者 : admin 评论 : 0 点击 : 164 次

  早在今年4月份,Facebook推出了其设立的赏金项目,只要用户能在自家平台上发现数据滥用现象,就能轻松拿走最低500美元的奖金,而那些抓到了“大鱼”的用户,则可独揽4万美元的大奖。随着访问用户数据的途径增多,Facebook平台近期被发现诸多漏洞。对此,Facebook今日宣布,将其漏洞赏金项目扩大至第三方应用范围。

  在漏洞赏金项目扩大后,Facebook会将向报告用户访问令牌内漏洞的开发人员提供奖励。所谓用户访问令牌,即允许用户通过登录Facebook直接注册/登录第三方应用的功能。假如这个访问令牌落入黑客手中,他们可以未经同意获取用户数据。研究人员须提交概念验证,来说明该漏洞如何可以允许黑客访问或滥用用户数据。Facebook将为报告提供至少500美元的奖励,并且只关注拥有至少5万活跃用户的应用上发现的漏洞。

  当用户在使用有漏洞应用和网站时,Facebook通过被动查看发送至用户的设备或从用户设备发出的数据时发现的漏洞。对此,安全工程师丹·葛芬科(DanGurfinkel)表示,“如果暴露,基于用于设置的权限,访问令牌极有可能被滥用。我们希望给研究人员提供一个明确的渠道来报告这些重要的问题,我们也希望进我们最大的努力去保护人们的信息,即使问题源不在我们的直接掌控之下”。

  在普遍情况来看,第三方应用漏洞均不在大型科技公司的赏金漏洞报告的范围之内。不过,Facebook却对第三方应用予以监管。一方面是,因为多年来该公司一直允许第三方应用访问大量用户数据且基本上没有任何监督,其中一些应用甚至以允许其他人访问这些数据,违反Facebook的开发者政策,最显著的例子就是“剑桥分析”数据泄露事件;另一方面,Facebook也希望通过这样的举动来重新获得用户信任。

本文标签

除非注明,文章均为( admin )原创,转载请保留链接: http://www.treslola.com/?p=36

Facebook扩大检索漏洞范围 重点看第三方平台:等您坐沙发呢!

发表评论


-----===== 博主信息 =====-----

为您推荐

0