Facebook網站上的一個編程錯誤意外地讓1,500個第三方應用程序訪問了多達680萬用戶的未發佈的Facebook照片。
Facebook 14號宣佈,它在其照片共享系統中發現了一個新的API錯誤,允許876位開發人員訪問他們從未在時間軸上共享的用戶私密照片,包括上傳到Marketplace或Facebook Stories的圖像。
當某人允許應用程序訪問Facebook上的照片時,Facebook通常只允許應用程序訪問人們在時間軸上共享的照片。在這種情況下,這個Bug可能會允許開發人員訪問其他照片,例如在Marketplace上共享的照片或Facebook Stories。
更糟糕的是,這甚至暴露了人們上傳到Facebook但是由於某種原因選擇不發佈或未完成發佈的照片。漏洞使用戶的私人數據在9月13日至9月25日期間暴露了12天,直到Facebook在9月25日發現並修復了安全錯誤。
“目前,我們認爲這可能已經影響了多達680萬用戶和876個開發者構建的最多1,500個應用程序。受此漏洞影響的應用範圍是Facebook批准訪問照片API並且個人已授權訪問其照片的應用程序。”
這家社交媒體巨頭已經開始通過Facebook時間線上的警報通知受影響的用戶照片可能已被曝光,並引導他們訪問包含更多信息的幫助中心頁面。Facebook還表示,社交媒體網絡將很快推出“應用程序開發人員的工具,這將使他們能夠確定哪些人使用他們的應用程序可能會受到這個錯誤的影響”。此外,他們承諾將與應用程序開發人員合作,刪除他們不應訪問的照片副本。
因爲GDPR的推行,愛爾蘭數據管理局已經就此對Facebook展開調查,Facebook一旦處理不當,可能會面對高達16億美元的罰款。