Facebook 扩大漏洞奖励计划覆盖范围，接受访问令牌泄露漏洞

作者：Lindsey O'Donnell

翻译：360代码卫士团队

本周一，Facebook 宣布扩大漏洞奖励计划覆盖范围，新增访问令牌泄露漏洞。如果研究人员能在第三方 app 和网站中找到涉及不当暴露 Facebook 用户访问令牌的漏洞，至少可获得500美元的奖励。该计划无时间限制且任何人均可参与。

访问令牌是指识别唯一用户和用户权限且能够让用户通过 Facebook 登录其他 app 的凭证。用户可决定令牌和 app 能够访问的信息以及可以采取哪些措施。

Facebook 的安全工程经理 Gan Gurfinkel 表示，“如果访问令牌遭暴露，那么就可能基于用户设置的权限遭滥用。我们想让研究人员能够通过明确的渠道报告这些重要的问题，而且我们也想通过自身的力量保护人们信息的安全，即使某个 bug 的来源并非受我们的直接控制。”

Facebook 公司的一名发言人指出，漏洞奖励计划并无时间限制，而且并非邀请制，任何人均可参与。

该漏洞奖励计划对于如何发现这些 bug 有着严格的规定，它们必须是通过被动查看发送至或在研究人员的设备访问易受攻击的 app 或网站时从该设备发出的数据发现，因此参与人员无法操纵任何设备发送至 app 或网站的请求。也就是说，Facebook 的条款指出，SQL 注入、XSS、开放重定向或权限绕过漏洞（如不安全的直接对象引用缺陷）“并不在范围之内”。

另外，研究人员不能通过自己的 Facebook 账户以外的账户访问数据或使用任何访问令牌，而且仅有至少拥有5万名活跃用户的第三方 app 才在漏洞奖励计划之内。

当提交报告时，“研究人员应该确保包含一个清晰的 PoC，演示可导致访问或滥用和 Facebook 平台上 app 相关的用户访问令牌。”

一般而言，和 Facebook （包括apps.facebook.com 上的多数网页）集成的第三方 app 或 网站中的漏洞通常并不包含在漏洞奖励计划内，这次将暴露 Facebook 用户访问令牌的漏洞涵盖在内是个例外。

漏洞奖励专家大力欢迎 Facebook 最新推出的这个漏洞奖励计划。

昵称为 “EdOverflow” 的安全研究员兼赏金猎人 Edwin Foudil 表示他经常会检查代码基和源代码仓库查看访问令牌。他对 Facebook 新增的漏洞奖励项目表示赞赏。他认为针对用户将权限授予的第三方 app 的攻击可能要比直接攻击 Facebook 更加有效。保证第三方 app 安全的漏洞奖励计划非常罕见，或者说承认依靠 Facebook 访问权限的第三方 app 属于 Facebook 的攻击面的厂商非常少见。

策略和法律漏洞奖励计划方面的专家 Amit Elazari 指出，这一漏洞奖励计划表明 Facebook 认可法规者（和用户）将会因为和 Facebook 交互的第三方 app 和网站开发人员缺乏安全和隐私实践而要求平台担负更多责任的现象，这一步意义深远。企业正在认识到这类攻击的成本非常高，因此需要尽早全力以赴的解决，其中就包括众筹漏洞奖励计划的方法。这一趋势将会继续而且很可能会延伸至 AI 公平问题方面。

Bugcrowd 的创始人兼首席技术官 Casey Ellis 也对 Facebook 推出的漏洞奖励计划表示赞许，它将帮助黑客社区在这类风险方面保持与时俱进。

Facebook 首次在2011年推出漏洞奖励计划，鼓励研究人员找出其平台中的漏洞问题，不过过去该计划更专注和数据相关的问题，因为公司加固隐私策略问题。

Facebook 一直在打压平台上的数据滥用和隐私问题，尤其是继3月份爆发剑桥分析公司丑闻事件以来更是如此。继该事件爆发后，Facebook 在3月份表示将扩大其漏洞计划覆盖范围以打击第三方 app 开发人员滥用数据的情况。

这一计划似乎一直在吸引白帽黑客的注意力，包括 Inti De Ceukelaire 在内。他在5月份通过漏洞奖励计划发布一篇文章指出，1.2亿用户的数据遭 Nametest.com 所拥有的一款测试 app 暴露。

尽管安全社区做出很多努力，Gurfinkel 强调称， app 开发人员在保护 Facebook 用户的数据和隐私安全方面仍然表现不佳。他指出，“我们想强调一点，我们的漏洞奖励计划并不取代 app 开发人员通过合适的技术和组织措施保护个人数据安全的义务。”

原文链接

https://threatpost.com/facebook-now-offers-bounties-for-access-token-exposure/137477/

本文由360代码卫士编译，不代表360观点，转载请注明 “转自360代码卫士www.codesafe.cn”。