Facebook准实习生因曝光隐私漏洞被取消资格

一名哈佛大学学生因发布一款谷歌(微博)Chrome浏览器扩展，曝光了Facebook Messenger的严重隐私漏洞，而遭到Facebook取消实习资格。

今年5月，哈佛大学计算机科学和数学专业学生阿兰·卡纳（Aran Khanna）编写了Marauder's Map。这个浏览器扩展利用了Facebook Messenger在发送信息时默认分享位置信息这一漏洞。

在安装这个扩展之后，用户可以准确跟踪在Facebook Messenger上与之聊天者的地理位置，甚至包括群组聊天中陌生人的位置，其精确度达到1米。

这个扩展迅速传播开来，下载量达到85,000，并被《卫报》、《每日邮报》、《赫芬顿邮报》等媒体广泛报道。卡纳在Medium网站发表博文介绍他的扩展之后的第三天，Facebook要求他关闭这个扩展，卡纳照做了。在Facebook的要求下，卡纳拒绝接受媒体的采访。Facebook在一个星期之后发布了新版Messenger，修复了位置分享漏洞。

本周初，卡纳为他的这次经历撰写了一篇案例研究，发表在哈佛大学刊物上。

卡纳在文章陈述了Facebook的最初反应：

“27日下午，我在Medium发表博文介绍我的扩展之后第二天，Facebook联系到我。我的未来经理打电话告诉我不要接受任何媒体的采访。然而，他跟我说我可以保留我的博文。那天傍晚，Facebook隐私和公共政策全球联络官通过电话向我再次阐明Facebook希望我不要在媒体面前谈论此事，声称他的目的是阻止对有害报道的散播。

28日中午，Facebook隐私和公共政策全球联络官通过电邮要求我关闭这个扩展。我遵照他的要求在一小时内关闭了跟这个扩展相关联的Mapbox API key，这个扩展再也无法载入显示地理位置数据的地图。”

然而，三天之后，Facebook再次联系卡纳，称将取消他的实习生资格：

“29日下午，Facebook打电话通知我他们取消了我的夏季实习资格，原因是我的扩展‘搜刮’Facebook网站数据，违反了Facebook用户协议。全球人力资源和招聘总管随后发邮件给我，称我的博文未能反映Facebook实习生应有的对用户隐私的‘高道德标准’。从邮件内容看来，隐私问题跟利用Facebook Messenger漏洞开发的扩展无关，而是我的博文和博文中描述Facebook如何收集和共享用户地理位置数据的代码有关。”

Facebook则不同意卡纳对这起事件的描述。一名Facebook发言人告诉Business Insider，卡纳的描述略去了一些对自己不利的细节。首先，我们几个月前就开始根据从Messenger用户反馈回来的数据改进位置共享方式。第二，该地图工具搜刮Facebook数据的方式违反我们的用户条款，而这些条款存在的意义就是为了保护用户的隐私和安全。尽管我们再三要求他删除代码，但他还是公布到网上。这种做法是错误的，跟我们服务社区的理念相悖。

Facebook方面称他们将按日程对Messenger进行升级，升级进程不会因卡纳发布这个插件而受影响。“我们不会因员工曝光隐私漏洞而解雇员工，但如果有人滥用用户数据，给用户带来风险，我们会认真对待。”

卡纳在其案例研究中写道，他认为是媒体的关注迫使Facebook行动起来。“在我发布扩展和博文之前，普通用户很难会发现Facebook Messenger在收集和共享位置数据，因此这个漏洞没有引起足够的关注。如果没有公共压力，Facebook可能会缺乏改变的动力。我的扩展和博文让Facebook收集和共享数据的做法公诸于众。”