臉書周一宣佈擴大抓漏獎勵計畫,通報臉書平台上不當洩露用戶存取權杖的第三方app及網站漏洞的研究人員也可以拿獎金了。
臉書平台的存取權杖(access token)讓用戶可以經由臉書帳號存取第三方app,這個權杖只專屬於特定用戶和app。存取權杖和app可存取什麼個資、做什麼事都是由使用者決定,一旦洩露就可能遭濫用。為了確保用戶個資,臉書也希望能掌握漏洞,即使他們無法直接修補這些漏洞。
但是為免研究人員使用駭入手法,臉書聲明僅接受研究人員被動檢視使用第三方app或網站時裝置上接到、發出的資料找到的漏洞。研究人員不得對變造對app及網站發出的呼叫,或以其他方式干擾正常運作,例如資料隱碼(SQLi)、跨站攻擊(XSS)、開放重導向(open redirect)或權限繞過(permission bypass)如不安全的直接物件參照(Insecure Direct Object References,IDOR)都在臉書嚴禁名單之中。
一如臉書自有服務的抓漏獎勵,臉書對於上述漏洞將頒發每款漏洞最低500美元的獎金。而若臉書證實確有存取權杖洩露情形,會協同app及網站開發商修補漏洞。若有不從者,會被立即從臉書平台上暫時關閉,直到問題修復且經過臉書安全驗證止。而遭駭的存取權杖也會被自動吊銷以免可能的誤用,臉書也會通知他們認為受到影響的對象。
臉書並強調,這個抓漏獎勵並不能取代第三方app開發商們以技術和組織措施確保用戶個資的義務,這些都透過臉書的服務條款或開發政策要求開發商們遵守。不過由於這或許是業界第一次擴及第三方app的獎勵方案,臉書也會視開發商意見以便日後調整。
為確保用戶個資,臉書今年4月另外還推行了資料濫用獎勵方案,以獎勵揭發第三方app蒐集用戶個資,並傳給惡意他人從事不法行為的情形。
熱門新聞
2024-11-12
2024-11-10
2024-11-13
2024-11-14