Den nylige Cambridge Analytica-skandale rystede Facebook og fik firmaet til at undersøge nærmere, hvor dets masser af brugerdata ender, og hvordan de bruges.
Som en del af denne indsats annoncerede den sociale netværksgigant i denne uge, at den udvider sit bug bounty-program til at omfatte tredjepartsapps og websteder, der lader folk bruge deres Facebook-konti til at logge ind.
Virksomheden siger, at det fokuserer på adgangstokener, der entydigt genereres til den specifikke bruger og app under login.
”Brugeren beslutter, hvilke oplysninger tokenet og appen kan få adgang til, samt hvilke handlinger der kan udføres ... [men] et token kan potentielt misbruges,” forklarede Dan Gurfinkel, Facebook-sikkerhedsteknisk manager, i et indlæg, der annoncerede det udvidede program.
Gurfinkel sagde, at det vil betale mindst $ 500 til enhver, der opdager sårbarheder, der involverer "forkert eksponering af Facebook-brugeradgangstokener." Jo mere alvorligt problemet er, jo større beløb betaler Facebook, selvom det ikke nævnes et loft.
Han tilføjede, at Facebook bruger programmet i et forsøg på at skabe en klar kanal for folk til at rapportere om eventuelle problemer, de støder på, ”og vi vil gøre vores del for at beskytte folks information, selvom kilden til en fejl ikke er i vores direkte kontrol. ”
Når et problem er blevet bekræftet af Facebooks egne forskere, vil det kontakte appen eller webstedsudvikleren for at hjælpe dem med at rette deres kode, og de vil blive suspenderet fra platformen, indtil problemet er løst.
"Vi vil også automatisk tilbagekalde adgangstokener, der kunne være kompromitteret for at forhindre potentielt misbrug, og advare dem, som vi mener er berørt," sagde Gurfinkel.
Sikkerhedsteknikchefen påpegede, at Facebook kun accepterer rapporter "hvis fejlen opdages ved passivt at se de data, der sendes til eller fra din enhed, mens du bruger den sårbare app eller websted." Med andre ord har forskere ikke lov til at "manipulere enhver anmodning, der sendes til appen eller webstedet fra din enhed, eller på anden måde blande sig i den almindelige funktion af appen eller webstedet i forbindelse med at indsende din rapport."
Hvis der rapporteres om en fejl af to personer, der arbejder uafhængigt af hinanden, går betalingen til den person, der først indsender rapporten. Og hvis forskeren føler sig generøs og gerne vil donere belønningen til velgørenhed, fordobler Facebook værdien af donationen.
Udvidelsen af dets bug bounty-program kommer fire måneder efter, at Facebook lancerede Data Abuse Bounty-programmet, en anden konsekvens af den skadelige Cambridge Analytica-skandale, hvor en tredjeparts-app hjalp med at høste dataene på op til 87 millioner Facebook-brugere til politisk gevinst, hvilket førte til store spørgsmål om den måde, hvorpå det sociale netværksfirma håndterede brugerdata.
Programmet Data Abuse Bounty belønner brugere, der opdager og rapporterer enhver app eller tjeneste, der er forbundet med Facebook, der misbruger data, specifikt hvor ”en Facebook-platform-app indsamler og overfører folks data til en anden part, der skal sælges, stjæles eller bruges til svindel eller politisk indflydelse, ”sagde virksomheden.
Facebook beskrev sit datamisbrugsprogram som en industri først.
