保法 发表于 2024-2-20 16:16:41

Facebook准实习生因曝光隐私漏洞被取消资格

[摘要]这个浏览器扩展利用了Facebook Messenger在发送信息时默认分享位置信息这一漏洞。


    BI中文站 8月15日报道

    一名哈佛大学学生因发布一款谷歌(微博)Chrome浏览器扩展,曝光了FacebookMessenger的严重隐私漏洞,而遭到Facebook取消实习资格。

    今年5月,哈佛大学计算机科学和数学专业学生阿兰卡纳(Aran Khanna)编写了Marauder's Map。这个浏览器扩展利用了Facebook Messenger在发送信息时默认分享位置信息这一漏洞。

    在安装这个扩展之后,用户可以准确跟踪在Facebook Messenger上与之聊天者的地理位置,甚至包括群组聊天中陌生人的位置,其精确度达到1米。

    这个扩展迅速传播开来,下载量达到85,000,并被《卫报》、《每日邮报》、《赫芬顿邮报》等媒体广泛报道。卡纳在Medium网站发表博文介绍他的扩展之后的第三天,Facebook要求他关闭这个扩展,卡纳照做了。在Facebook的要求下,卡纳拒绝接受媒体的采访。Facebook在一个星期之后发布了新版Messenger,修复了位置分享漏洞。

    本周初,卡纳为他的这次经历撰写了一篇案例研究,发表在哈佛大学刊物上。

    卡纳在文章陈述了Facebook的最初反应:

    27日下午,我在Medium发表博文介绍我的扩展之后第二天,Facebook联系到我。我的未来经理打电话告诉我不要接受任何媒体的采访。然而,他跟我说我可以保留我的博文。那天傍晚,Facebook隐私和公共政策全球联络官通过电话向我再次阐明Facebook希望我不要在媒体面前谈论此事,声称他的目的是阻止对有害报道的散播。

    28日中午,Facebook隐私和公共政策全球联络官通过电邮要求我关闭这个扩展。我遵照他的要求在一小时内关闭了跟这个扩展相关联的Mapbox API key,这个扩展再也无法载入显示地理位置数据的地图。

    然而,三天之后,Facebook再次联系卡纳,称将取消他的实习生资格:

    29日下午,Facebook打电话通知我他们取消了我的夏季实习资格,原因是我的扩展搜刮Facebook网站数据,违反了Facebook用户协议。全球人力资源和招聘总管随后发邮件给我,称我的博文未能反映Facebook实习生应有的对用户隐私的高道德标准。从邮件内容看来,隐私问题跟利用Facebook Messenger漏洞开发的扩展无关,而是我的博文和博文中描述Facebook如何收集和共享用户地理位置数据的代码有关。

    Facebook则不同意卡纳对这起事件的描述。一名Facebook发言人告诉Business Insider,卡纳的描述略去了一些对自己不利的细节。首先,我们几个月前就开始根据从Messenger用户反馈回来的数据改进位置共享方式。第二,该地图工具搜刮Facebook数据的方式违反我们的用户条款,而这些条款存在的意义就是为了保护用户的隐私和安全。尽管我们再三要求他删除代码,但他还是公布到网上。这种做法是错误的,跟我们服务社区的理念相悖。

    Facebook方面称他们将按日程对Messenger进行升级,升级进程不会因卡纳发布这个插件而受影响。我们不会因员工曝光隐私漏洞而解雇员工,但如果有人滥用用户数据,给用户带来风险,我们会认真对待。

    卡纳在其案例研究中写道,他认为是媒体的关注迫使Facebook行动起来。在我发布扩展和博文之前,普通用户很难会发现Facebook Messenger在收集和共享位置数据,因此这个漏洞没有引起足够的关注。如果没有公共压力,Facebook可能会缺乏改变的动力。我的扩展和博文让Facebook收集和共享数据的做法公诸于众。(翼飞)
页: [1]
查看完整版本: Facebook准实习生因曝光隐私漏洞被取消资格