Facebook平臺(tái)上的第三方應(yīng)用可訪問用戶數(shù)據(jù)，但這些應(yīng)用近期被發(fā)現(xiàn)諸多漏洞。隨著相關(guān)批評(píng)越來越多，F(xiàn)acebook近日宣布，將其漏洞賞金項(xiàng)目（bug bounty program）擴(kuò)大至第三方應(yīng)用范圍。

Facebook如今將向報(bào)告用戶訪問令牌（user access tokens）內(nèi)漏洞的開發(fā)人員提供獎(jiǎng)勵(lì)。所謂用戶訪問令牌，即允許用戶通過登錄Facebook直接注冊/登錄第三方應(yīng)用的功能。假如這個(gè)訪問令牌落入黑客手中，他們可以未經(jīng)同意獲取用戶數(shù)據(jù)。

在報(bào)告中，研究人員須提交概念驗(yàn)證，來說明該漏洞如何可以允許黑客訪問或?yàn)E用用戶數(shù)據(jù)。Facebook將為報(bào)告提供至少500美元的獎(jiǎng)勵(lì)，并且只關(guān)注擁有至少5萬活躍用戶的應(yīng)用上發(fā)現(xiàn)的漏洞。

在宣布這一變更的博客文章里，安全工程師丹·葛芬科（Dan Gurfinkel）說，F(xiàn)acebook將只考慮這些報(bào)告：“在使用有漏洞應(yīng)用和網(wǎng)站時(shí)，通過被動(dòng)查看發(fā)送至您的設(shè)備或從您設(shè)備發(fā)出的數(shù)據(jù)時(shí)發(fā)現(xiàn)的漏洞”。因此，研究人員無法創(chuàng)建一個(gè)開放的重定向，比如，來繞過身份驗(yàn)證要求。

“如果暴露，基于用于設(shè)置的權(quán)限，訪問令牌極有可能被濫用，”葛芬科寫道，“我們希望給研究人員提供一個(gè)明確的渠道來報(bào)告這些重要的問題，我們也希望進(jìn)我們最大的努力去保護(hù)人們的信息，即使問題源不在我們的直接掌控之下?！?/p>

通常，第三方應(yīng)用漏洞均不在大型科技公司的賞金漏洞報(bào)告的范圍之內(nèi)。但是Facebook仍在艱難處理用戶的反對(duì)情緒，因?yàn)槎嗄陙砉疽恢痹试S第三方應(yīng)用訪問大量用戶數(shù)據(jù)且基本上沒有任何監(jiān)督，其中一些應(yīng)用甚至以允許其他人訪問這些數(shù)據(jù)，違反Facebook的開發(fā)者政策，最顯著的例子就是“劍橋分析”（Cambridge Analytica）數(shù)據(jù)泄露事件。

最近幾個(gè)月，一些應(yīng)用如Bumble和Coffee Meet Bagel等，也向用戶提供了Facebook身份驗(yàn)證之外的其他登錄選項(xiàng)—;—;以回應(yīng)他們所說的用戶對(duì)使用Facebook登錄越來越不放心一事。因此，F(xiàn)acebook必須對(duì)第三方應(yīng)用予以監(jiān)管以重新獲得用戶信任。

Facebook最近也推出了修訂的應(yīng)用審查流程，旨在清理訪問超出其本身所需的用戶數(shù)據(jù)的第三方應(yīng)用。