这次Facebook安全漏洞属于“预期功能”范畴。
在Facebook超过5000万个账户遭到泄露之后,我们开始听到一些解释,而这些解释令人毛骨悚然。没有哪个团队是完美无缺的,但这起事件令人不寒而栗地提醒我们,在安全分析和审计中疏忽大意会造成多么严重的后果。公司外包这项艰巨工作的一种方式是向指出漏洞的白帽安全研究人员提供漏洞赏金。Facebook目前的困境让推特用户@codepaintsleep想起了他朋友与该程序的互动经历。
♎@codepaintsleep
你知道有些“忘记密码”链接一点击就会直接登录吗?2016年12月,Facebook发送给特定用户的所有链接都存在这个问题。我的一个朋友通过转发链接发现了这个问题,我确认后,他提交了报告。结果Facebook甚至没有给他漏洞赏金。twitter.com /me_irl/ status/…2018年9月29日 下午12:09政府官员@me_irl哈哈。看来Facebook的“以其他用户身份查看”功能(允许你以你选择的其他用户的身份查看自己的个人资料,并应用隐私限制)的实现方式竟然是将该用户的私有访问令牌加载到你的会话中??? https://t.co/9UJisodNkv
2016年12月,Facebook会在特定情况下向用户自动发送登录邮件。如果这封邮件被转发给其他人,他们就可以点击邮件中的链接,从而完全访问你的Facebook账号。这种情况或许很少见,但一旦发生,将严重侵犯用户的隐私。@codepaintsleep 的朋友报告这个漏洞的做法绝对正确,而且他们一开始甚至都不是为了赏金才这么做的。
然而,即使是最愤世嫉俗的Facebook批评者也未必能预料到Facebook拒绝支付漏洞赏金的理由——他们声称,通过转发原本发给自己的邮件来允许他人访问你的账户是“预期功能”。这项功能如此“预期”,以至于在一位好心人报告漏洞后不到20分钟,Facebook就立即修复了该漏洞。
♎@codepaintsleep
我这里有Facebook案件编号,如果我关注的人能用它做点什么,请告诉我。还有我们当时的对话记录,不过除了我的确认之外,没什么特别有用的信息。2018年9月29日 下午1:22
显然,这只是个拒付赏金的借口,或许也仅仅是一家市值数十亿美元的公司吝啬而已。但拒付漏洞赏金,尤其是在这种情况下,完全违背了该计划的初衷。
虽然 Facebook一再就争议事件道歉,并表示他们已经从错误造成的后果中“吸取了很多教训”,但请始终记住,他们的商业模式无视你的隐私,而这正是他们唯一的预期功能。
文章来源:https://dev.to/lethargilistic/this-facebook-security-breach-was-intending-behavior-1o2i