由于他使用了Messenger安全漏洞，Facebook拒绝了学生实习

三个月前，哈佛大学的学生阿兰·卡纳（Aran Khanna）正准备在Facebook上实习，但在出行前几个小时，她拒绝了接电话。原因是学生的“不道德”行为：Khanna发布了一个Chrome扩展程序，该扩展程序显示了Facebook Messenger上帖子的位置。默认情况下，Messenger会与来自移动应用程序的每条消息一起发送此数据。



掠夺者的地图应用程序（该名称应为哈利·波特迷们熟悉）是Google Chrome浏览器的扩展程序，它使用来自Facebook Messenger的数据创建地图：它显示了用户发送消息的位置。在地图上只有一群人聊天-阿兰知道所有人。这意味着，一个假设未知的人可以看到Aran在星巴克时在信使中写了一条消息。

Facebook Messenger自2011年以来一直在运行-默认情况下，它从启动之日起就发送有关用户位置的数据。在2012年，CNET撰写了有关此“属性”的文章，展示了如何禁用该功能。该应用程序收到了许多更新，包括带有猫的有趣表情符号，但该公司未删除地理位置设置。 Khanna经常使用Messenger，但是直到他仔细查看邮件历史记录后，他才知道自己共享了这么多数据。


阿兰·卡纳（Aran Khanna）和马克·扎克伯格（Mark Zuckerberg）

5月26日卡纳（Khanna）在媒体上发布了有关“掠夺者地图”的帖子，此扩展程序被下载了八万五千次。三天后，Facebook要求开发人员禁用该应用程序，并同时关闭个人计算机上位置数据的传输，这在任何情况下都阻止了“地图”的运行。

一周后，Facebook发布了Messenger的更新，并在发布中提到：“更新后，您将完全控制何时以及如何共享有关位置数据的信息。”在该版本中，该公司没有提到以前默认设置会发送位置数据，并且在不安装更新的情况下，用户将继续发送此数据。

一位Facebook发言人表示，在卡纳（Khanna）发布该职位之前，该公司就一直在为Messenger进行更新，并表示准备过程耗时数月。

卡纳（Khanna）在哈佛大学的《技术与科学》杂志上发表了一项研究。他解释说，该应用程序的目的是显示意外数据交换的后果。因此，用户可以自己决定这是否真的侵犯了他们的隐私。

2012年，CNET发布了有关如何关闭Facebook Messenger上的位置共享的视频。但是在2015年《亚兰》出版后仅九天，出现了一个更新，询问用户是否要发送此数据。





在“掠夺者卡”发布三天后，也就是应该让阿兰实习的两个小时之前，他接到了Facebook的电话，由于违反了Facebook的用户协议而被拒绝合作-因为他入侵了一个网站以接收数据。卡纳（Khanna）不同意Facebook，因为他使用了所有用户可以访问的信息，这些信息是他从自己的消息中获取的。

2012年，马克·扎克伯格（Mark Zuckerberg）在致投资者的信中说：“我们创建了独特的文化和管理体系，我们称之为黑客之道”和“勇敢”：事实证明，勇气和黑客行为有其局限性。

2013年，一名巴勒斯坦开发商Khalil Shriteh 在Facebook上报告了一个错误，允许任何用户在其他人的页面上放置链接。ShriTech希望就发现的漏洞获得奖励，但该公司拒绝了他，称“这不是错误”。开发人员决定将此错误通知Mark Zuckerberg，并使用此漏洞在其页面上发布了一条消息。哈利勒（Hhalil）从未收到过这笔钱：Facebook“无法为您支付此漏洞的费用，因为您的行为违反了我们的服务条款。”

Source: https://habr.com/ru/post/zh-CN382787/