一名哈佛大學學生因發布一款谷歌Chrome瀏覽器擴展,曝光了FacebookMessenger的嚴重隱私漏洞,而遭到Facebook取消實習資格。
今年5月,哈佛大學計算機科學和數學專業學生阿蘭·卡納(Aran Khanna)編寫了Marauder's Map。這個瀏覽器擴展利用了Facebook Messenger在發送信息時默認分享位置信息這一漏洞。
在安裝這個擴展之后,用戶可以準確跟蹤在Facebook Messenger上與之聊天者的地理位置,甚至包括群組聊天中陌生人的位置,其精確度達到1米。
這個擴展迅速傳播開來,下載量達到85,000,并被《衛報》、《每日郵報》、《赫芬頓郵報》等媒體廣泛報道。卡納在Medium網站發表博文介紹他的擴展之后的第三天,Facebook要求他關閉這個擴展,卡納照做了。在Facebook的要求下,卡納拒絕接受媒體的采訪。Facebook在一個星期之后發布了新版Messenger,修復了位置分享漏洞。
本周初,卡納為他的這次經歷撰寫了一篇案例研究,發表在哈佛大學刊物上。
卡納在文章陳述了Facebook的最初反應:
“27日下午,我在Medium發表博文介紹我的擴展之后第二天,Facebook聯系到我。我的未來經理打電話告訴我不要接受任何媒體的采訪。然而,他跟我說我可以保留我的博文。那天傍晚,Facebook隱私和公共政策全球聯絡官通過電話向我再次闡明Facebook希望我不要在媒體面前談論此事,聲稱他的目的是阻止對有害報道的散播。
28日中午,Facebook隱私和公共政策全球聯絡官通過電郵要求我關閉這個擴展。我遵照他的要求在一小時內關閉了跟這個擴展相關聯的Mapbox API key,這個擴展再也無法載入顯示地理位置數據的地圖。”
然而,三天之后,Facebook再次聯系卡納,稱將取消他的實習生資格:
“29日下午,Facebook打電話通知我他們取消了我的夏季實習資格,原因是我的擴展‘搜刮’Facebook網站數據,違反了Facebook用戶協議。全球人力資源和招聘總管隨后發郵件給我,稱我的博文未能反映Facebook實習生應有的對用戶隱私的‘高道德標準’。從郵件內容看來,隱私問題跟利用Facebook Messenger漏洞開發的擴展無關,而是我的博文和博文中描述Facebook如何收集和共享用戶地理位置數據的代碼有關。”
Facebook則不同意卡納對這起事件的描述。一名Facebook發言人告訴Business Insider,卡納的描述略去了一些對自己不利的細節。首先,我們幾個月前就開始根據從Messenger用戶反饋回來的數據改進位置共享方式。第二,該地圖工具搜刮Facebook數據的方式違反我們的用戶條款,而這些條款存在的意義就是為了保護用戶的隱私和安全。盡管我們再三要求他刪除代碼,但他還是公布到網上。這種做法是錯誤的,跟我們服務社區的理念相悖。
Facebook方面稱他們將按日程對Messenger進行升級,升級進程不會因卡納發布這個插件而受影響。“我們不會因員工曝光隱私漏洞而解雇員工,但如果有人濫用用戶數據,給用戶帶來風險,我們會認真對待。”
卡納在其案例研究中寫道,他認為是媒體的關注迫使Facebook行動起來。“在我發布擴展和博文之前,普通用戶很難會發現Facebook Messenger在收集和共享位置數據,因此這個漏洞沒有引起足夠的關注。如果沒有公共壓力,Facebook可能會缺乏改變的動力。我的擴展和博文讓Facebook收集和共享數據的做法公諸于眾。”
京公網安備 11010502049343號