开发的程式曝露FBMessenger漏洞，哈佛实习生遭脸书解聘

哈佛学生Aran Khanna指出，他因为在Facebook实习期间开发出一款可利用Facebook Messenger地理资讯以追踪友人行踪的Chrome扩充程式，结果遭到Facebook取消实习生资格。

这款扩充程式之所以让Khanna失去实习生资格，是因为这款扩充程式撷取资料的方式利用到Facebook Messenger在地理资讯分享设计上的一个漏洞。而脸书认为他的资讯使用方式违反隐私权上的“高道德标准”。

Khanna解释，Facebook Messenger的地理定位分享功能预设值会让每一则传送出的讯息分享使用者的所在地点资料。这个功能在2015年6月以前的Android版Messenger都是预设开启，会搜集并显示使用者所有的通讯内容，包括和非友人在Facebook上的群组通话。在Messenger程式一开始下载时会有一则声明，之后就只会在通话窗格旁一个蓝色小点显示它正在搜集及分享使用者资料。

今年一月Khanna获得Facebook实习机会时，撰写了名为Marauders Map的Chrome扩充程式，当使用者以Chrome登入Facebook账号后，就会开始侦测讯息页的更新呼叫，并复制通话内容，再将内容相关的地点资料整合成电子地图，借此搜集使用者的地理位置，精准度在1米以内。他并指出，其他人即使没有这款扩充程式，点选地图上关于讯息的标示也可以看见所有资料。

他在部落格文章展示如何利用Marauders Map追踪到哥哥友人在史丹佛大学宿舍的精确位置，以及一周的行动踪迹，这位友人只和他透过Messenger聊天，并非他的脸友。他并重申，他还是认为Facebook Messenger是很有用的工具，他也是忠实使用者，而且用户毕竟还是可以选择关闭，但他的朋友都对于自己的资讯曝光程度感到惊讶甚至震撼。

Khanna于5月底将Marauders Map上传到Google Chrome Store，随后几天在Medium.com、Reddit及Hacker News等网站发表文章及URL，也在Github公开程式码。这个程式最后有85,000次下载，并引发170多篇报导，Twitter上360万次疯传。

5/27第一篇部落格文章公布后，Facebook要求Khanna不得对媒体发言，并要求关闭Marauders Map，随后Facebook关闭了Messenger网页版的资料分享功能，使得这款程式无法使用，但是手机版Messenger程式还是预设开启。文章发表后三天，Facebook以电话告知他取消了他的暑期实习机会，理由是他的扩充程式撷取网站资料的作法违反Facebook使用者协定。该公司人资及招聘部门并发出电子邮件，指其部落格文章未能反映实习生在使用者隐私上应有的“高道德标准”。

6月4日Facebook正式公布更新版Messenger，地点资讯分享由预设改为自愿加入，但新闻稿未提及之前的预设设定，以及资料被Facebook分享给了谁。但在2015年6月之前被分享的使用者资料依然可以被读取，且未更新到最新版的Android及iOS Messenger用户，其地点资讯分享功能也仍然是预设开启。

Facebook并于6月底再更新特定市场的Messenger程式，开始允许特定地区的使用者以电话号码登入Messenger服务，而不再强迫使用Facebook账号。