正在阅读：第三方网站可窃取无防备用户的个人数据？Facebook修复第三方网站可窃取无防备用户的个人数据？Facebook修复

　　【PConline资讯】今年5月的时候，安全公司Imperva曝光了Facebook的一个bug，其导致第三方网站可以读取毫无戒心的Facebook用户（及其好友）的私人信息。万幸的是，该漏洞现已被成功修复。此前，安全研究员RonMasas发现了Facebook的跨站请求伪造（CSRF）漏洞，意味着另一个网站可以通过代码查询的方式，接触到Facebook的用户数据。

　　为了利用该漏洞，站点可以嵌入iFrame（站点内的站点）来“吸取”用户的数据：

　　当已登录的Facebook用户访问带有恶意代码的网站，并在任意位置点击时触发脚本。

　　其通过向该社交网络发送查询来收集用户数据，例如‘用户是否喜欢跑步？’、或‘是否有朋友在加拿大？’

　　据悉，Masas是在研究Chrome漏洞时发现的Facebookbug，攻击者可借此窃取Facebook用户的私人信息。

　　可怕的是，即便设置了仅对自己可见，其好友的数据仍可能被这只黑爪给触及。比如通过更加复杂的查询，就可以找到有关某人的宗教信仰、或生活在特定区域的朋友圈等信息。

　　对于此事，Facebook发言人在致外媒TechCrunch的回复中写到：

　　感谢这位安全研究人员对我司bug赏金计划的支持，报告中的行为并非特定于Facebook，但我们的用户数据没有丢失。

　　我们已经向浏览器制造商和相关Web标准组提出了建议，鼓励它们采取措施防止此类问题在其它Web应用上发生。

　　据悉，Facebook向 Masas发放了两份单独的赏金，总额为8000美元。