2018 的 Facebook 在安全和隐私这条路上个走得可谓磕磕绊绊……
作者 | Lily Hay Newman
译者 | 袁虎
责编 | 仲培艺
出品 | CSDN(ID:CSDNnews)
今年 3 月,Facebook 惊曝史上最大规模的数据泄密——5000 万用户资料被非法盗用,Facebook 亦随之卷入 Cambridge Analytica 数据丑闻。后又于 10 月再曝安全漏洞,新一轮“泄露门”涉及账号数达 3000万。这样看来,好像今年所有关于 Facebook 的安全话题都是些负面信息,若说还有什么值得称道的地方的话,那大概就不得不聊聊其推出的 BUG 赏金(bug bounty)。
Bug 赏金是为了让安全研究人员在公司软件中提交潜在缺陷和漏洞的一项激励制度,任何人都可以发送报告也可以获得帮助解决公司系统 BUG 的奖励。几十年来,收集错误报告一直是一个颇具争议的做法,但 Facebook 在 2011 年就推出了这个项目。Facebook 已经为此支付了超过 750 万美元 BUG 赏金,其中 2018 年就占了 110 万美元。今年 Facebook 还向其中一位顶级贡献者支付了其最大的单笔奖金——50,000 美元。
帮助这位顶级贡献者获得这笔意外收获的 Bug 是 Facebook 的开发者订阅机制,用于通知某些类型的用户活动,我们可以将其视为在 Facebook 上生成的数据的 RSS。研究人员发现,在某些情况下,开发人员或攻击者可能操纵订阅以接收不应对某些操作和用户进行授权的更新。例如,流氓开发者可以定期更新谁喜欢或评论特定帖子。
该提交获得了 Facebook 最高的 BUG 赏金,因为它导致了一系列可能被滥用的潜在风险。2018 年,Facebook 共收到的 17,000 份报告,平均每份报告的奖金约为 1500 美元。
Facebook 的安全工程经理 Dan Gurfinkel 表示:“我们收到研究人员关于严重错误的报告并不少,九月安全事件涉及三个不同的错误相互作用。很多经验提醒了我们要用尽可能多地评估和测试我们的代码。BUG 赏金计划是这项工作的重要部分,这也是我们继续推出新方法吸引研究人员的原因。”
Cambridge Analytic 事件被踢爆后,Facebook 在 4 月扩大了其奖金范围,将“数据滥用”纳入其中(即 Facebook 第三方应用程序的开发人员滥用他们可以访问的客户数据),Facebook 还开始接受有关第三方应用程序本身的错误报告。Facebook 表示,在短短几个月内,已经开始收到一些高质量的提交报告,并解决了这些新的 Bug 类别。
漏洞赏金专家、Luta Security 公司创始人 Katie Moussouris 指出,“他们试图通过这个方法找到技术手段难于检测到的问题,例如第三方被授权在其服务条款中获取 Facebook 数据,如果其滥用服务条款,就很难检测到。”
Luta Security 与 Facebook 就改善数据滥用的扩展进行了沟通,理清了一些细微的差别。Facebook 明确表示研究人员不应在发现问题的过程中破坏用户数据,但只要有可能安全地记录这些复杂的交互,他们就应该提交更为细致的数据滥用报告。
根据 BUG 赏金开发组织 HackerOne 的首席技术官 Alex Rice 的说法,打破这种平衡最初看起来颇具挑战性,其在 2011 年曾就 Facebook 的漏洞赏金进行了咨询,此次他也表示了对今年接受隐私和第三方报告的扩展感到兴奋。Rice 认为,“数据滥用赏金计划具有创新性,这意味着要覆盖许多大型技术提供商的盲点,但这是一个具有挑战性的问题。而且 HackerOne 有两个客户正在着手推出以 “Facebook 数据滥用赏金计划成功”为前提的类似项目。”
Facebook BUG 奖励计划的改进将有望为安全社区或其他任何个人提供一个扩展的渠道来说明他们在平台上遇到的隐私问题和担忧。在如此庞大的规模下,Facebook 势必会遇到数据流或是数据滥用的问题,但该公司似乎直到今年才真正了解并掌握这个问题。虽然 bug 赏金是一个重要的工具,但它显然无法解决公司的所有安全和隐私挑战。
Rice 称,“作为 BUG 赏金的主要支持者,即使我认为我们不能阻止黑客或非法分子的攻击,但我们仍会做更多事情,任何将赏金计划定为银弹或认为其坚不可摧的观点都会误导公众。”
Facebook 在这岌岌可危的一年作出了一些积极的安全改进,但接下来其所面临的最艰难的工作可能不在bug 修复,而是重建用户信任。
原文:https://www.wired.com/story/facebook-bug-bounty-biggest-payout/
本文为 CSDN 翻译,如需转载,请注明来源出处
热 文 推 荐
☞ 更新微信 7.0,你后悔了吗?
☞ 游戏版号重新发放,开发者可以松口气了!| 畅言
☞ 如何绘制高大上的词云图?
☞ 刘强东无罪!
☞ 漫画:为什么互联网人收入高,却这么低调
☞ 为技术解开枷锁的那个人走了
☞解放双手?你一定缺这款“AI女友”
☞ 霸气!女程媛征男友的需求说明书!
print_r('点个好看吧!');
var_dump('点个好看吧!');
NSLog(@"点个好看吧!");
System.out.println("点个好看吧!");
console.log("点个好看吧!");
print("点个好看吧!");
printf("点个好看吧!\n");
cout << "点个好看吧!" << endl;
Console.WriteLine("点个好看吧!");
fmt.Println("点个好看吧!");
Response.Write("点个好看吧!");
alert("点个好看吧!")
echo "点个好看吧!"
喜欢就点击“好看”吧!