Facebook平臺(tái)上的第三方應(yīng)用可訪(fǎng)問(wèn)用戶(hù)數(shù)據(jù)，但這些應(yīng)用近期被發(fā)現(xiàn)諸多漏洞。隨著相關(guān)批評(píng)越來(lái)越多，F(xiàn)acebook近日宣布，將其漏洞賞金項(xiàng)目（bug bounty program）擴(kuò)大至第三方應(yīng)用范圍。

Facebook如今將向報(bào)告用戶(hù)訪(fǎng)問(wèn)令牌（user access tokens）內(nèi)漏洞的開(kāi)發(fā)人員提供獎(jiǎng)勵(lì)。所謂用戶(hù)訪(fǎng)問(wèn)令牌，即允許用戶(hù)通過(guò)登錄Facebook直接注冊(cè)/登錄第三方應(yīng)用的功能。假如這個(gè)訪(fǎng)問(wèn)令牌落入黑客手中，他們可以未經(jīng)同意獲取用戶(hù)數(shù)據(jù)。

在報(bào)告中，研究人員須提交概念驗(yàn)證，來(lái)說(shuō)明該漏洞如何可以允許黑客訪(fǎng)問(wèn)或?yàn)E用用戶(hù)數(shù)據(jù)。Facebook將為報(bào)告提供至少500美元的獎(jiǎng)勵(lì)，并且只關(guān)注擁有至少5萬(wàn)活躍用戶(hù)的應(yīng)用上發(fā)現(xiàn)的漏洞。

在宣布這一變更的博客文章里，安全工程師丹·葛芬科（Dan Gurfinkel）說(shuō)，F(xiàn)acebook將只考慮這些報(bào)告：“在使用有漏洞應(yīng)用和網(wǎng)站時(shí)，通過(guò)被動(dòng)查看發(fā)送至您的設(shè)備或從您設(shè)備發(fā)出的數(shù)據(jù)時(shí)發(fā)現(xiàn)的漏洞”。因此，研究人員無(wú)法創(chuàng)建一個(gè)開(kāi)放的重定向，比如，來(lái)繞過(guò)身份驗(yàn)證要求。

“如果暴露，基于用于設(shè)置的權(quán)限，訪(fǎng)問(wèn)令牌極有可能被濫用，”葛芬科寫(xiě)道，“我們希望給研究人員提供一個(gè)明確的渠道來(lái)報(bào)告這些重要的問(wèn)題，我們也希望進(jìn)我們最大的努力去保護(hù)人們的信息，即使問(wèn)題源不在我們的直接掌控之下?！?/p>

通常，第三方應(yīng)用漏洞均不在大型科技公司的賞金漏洞報(bào)告的范圍之內(nèi)。但是Facebook仍在艱難處理用戶(hù)的反對(duì)情緒，因?yàn)槎嗄陙?lái)公司一直允許第三方應(yīng)用訪(fǎng)問(wèn)大量用戶(hù)數(shù)據(jù)且基本上沒(méi)有任何監(jiān)督，其中一些應(yīng)用甚至以允許其他人訪(fǎng)問(wèn)這些數(shù)據(jù)，違反Facebook的開(kāi)發(fā)者政策，最顯著的例子就是“劍橋分析”（Cambridge Analytica）數(shù)據(jù)泄露事件。

最近幾個(gè)月，一些應(yīng)用如Bumble和Coffee Meet Bagel等，也向用戶(hù)提供了Facebook身份驗(yàn)證之外的其他登錄選項(xiàng)—;—;以回應(yīng)他們所說(shuō)的用戶(hù)對(duì)使用Facebook登錄越來(lái)越不放心一事。因此，F(xiàn)acebook必須對(duì)第三方應(yīng)用予以監(jiān)管以重新獲得用戶(hù)信任。

Facebook最近也推出了修訂的應(yīng)用審查流程，旨在清理訪(fǎng)問(wèn)超出其本身所需的用戶(hù)數(shù)據(jù)的第三方應(yīng)用。