新浪科技讯 北京时间9月18日上午消息,Facebook平台上的第三方应用可访问用户数据,但这些应用近期被发现诸多漏洞。随着相关批评越来越多,Facebook近日宣布,将其漏洞赏金项目(bug bounty program)扩大至第三方应用范围。
Facebook如今将向报告用户访问令牌(user access tokens)内漏洞的开发人员提供奖励。所谓用户访问令牌,即允许用户通过登录Facebook直接注册/登录第三方应用的功能。假如这个访问令牌落入黑客手中,他们可以未经同意获取用户数据。
在报告中,研究人员须提交概念验证,来说明该漏洞如何可以允许黑客访问或滥用用户数据。Facebook将为报告提供至少500美元的奖励,并且只关注拥有至少5万活跃用户的应用上发现的漏洞。
在宣布这一变更的博客文章里,安全工程师丹·葛芬科(Dan Gurfinkel)说,Facebook将只考虑这些报告:“在使用有漏洞应用和网站时,通过被动查看发送至您的设备或从您设备发出的数据时发现的漏洞”。因此,研究人员无法创建一个开放的重定向,比如,来绕过身份验证要求。
“如果暴露,基于用于设置的权限,访问令牌极有可能被滥用,”葛芬科写道,“我们希望给研究人员提供一个明确的渠道来报告这些重要的问题,我们也希望进我们最大的努力去保护人们的信息,即使问题源不在我们的直接掌控之下。”
通常,第三方应用漏洞均不在大型科技公司的赏金漏洞报告的范围之内。但是Facebook仍在艰难处理用户的反对情绪,因为多年来公司一直允许第三方应用访问大量用户数据且基本上没有任何监督,其中一些应用甚至以允许其他人访问这些数据,违反Facebook的开发者政策,最显著的例子就是“剑桥分析”(Cambridge Analytica)数据泄露事件。
最近几个月,一些应用如Bumble和Coffee Meet Bagel等,也向用户提供了Facebook身份验证之外的其他登录选项——以回应他们所说的用户对使用Facebook登录越来越不放心一事。因此,Facebook必须对第三方应用予以监管以重新获得用户信任。
Facebook最近也推出了修订的应用审查流程,旨在清理访问超出其本身所需的用户数据的第三方应用。(小白)
新浪科技讯北京时间9月18日早间消息,一位华尔街分析师对Twitter的开支提出警告,认为其在成本问题上误导市场,这导致该股周一大跌4.18...
新浪科技讯北京时间9月18日早间消息,美国财经媒体CNBC援引知情人士消息称,亚马逊继续在Alexa设备上发力,计划在年底前发布至少8款新型...
新浪科技讯北京时间9月18日早间消息,本周一,美国国际贸易委员会(ITC)在华盛顿特区开始了苹果和高通之间专利权纠纷的第二次审理。两家公司的...
本报讯(记者 崔巍)第二届中国“网络文学+”大会上周末于北京亦创国际会展中心落幕,本届大会全面展示了改...
经历国内市场的激烈厮杀后,中国手机厂商在印度再度交手,是狭路相逢还是同舟共济?文|《中国企业家》记者梁睿瑶编辑|尹一杰8月初,一加科技创始人...
来源:我是科学家iScientist这两天,徐峥与宁浩共同监制,徐峥亲自主演的一部喜剧电影《我不是药神》刚刚在全国院线正式上映。这部在点映阶...
各省、自治区、直辖市社会信用体系建设牵头部门、发展改革委、经信委(工信委)、交通运输厅(局、委)、公安厅(局):为全面贯彻党的十九大和十九届...
本文来自法制晚报法制晚报·看法新闻(记者周蔚)母亲在家给三岁女儿洗澡时,海尔热水器突然爆炸,母女俩全身被烫伤,女童面部瘢痕严重构成六级伤残,...
李甜李静不到10分钟,清华大学运维工程师高英凯向《中国经营报》记者展示的一台苹果笔记本电脑,在未充电的情况下,电量由开机时的26%自动上升至...
澎湃新闻记者彭瑜5月10日,澎湃新闻从知情人士处获悉,郑州警方已锁定“空姐乘坐滴滴顺风车遇害”案嫌疑人,正全力抓捕。据遇害空姐李某家属的朋友...
新浪科技讯5月11日上午消息,中国灾害防御协会与京东集团签署关于无人机参与救援工作的合作协议,这标志着着首个全国性公益无人机救援队正式成立。...
原标题:国家网信办:要让网络短视频充满正能量近期,国家网信办会同有关部门,针对网络短视频行业存在的突出问题,开展了一系列专项治理行动,依法依...
来源:饮食参考公众号龙羊峡的养殖淡水虹鳟鱼在市场上冒充大西洋鲑(真三文鱼)已有多年,一直都是闷声发大财的状态。最近不知道搭错了哪根筋,非要到...
本报记者陈佳岚李哲北京报道炙手可热的比特币让相关设备制造商赚得“盆满钵满”。北京比特大陆科技有限公司(以下简称“比特大陆”)是一家初创公司,...
新浪科技讯8月27日上午消息,广州市公安局新闻办公室今天通报:根据群众举报和公安机关调查,今日广州市公安局天河区分局依法对广州大象健康科技有...