Facebook网站上的一个编程错误意外地让1,500个第三方应用程序访问了多达680万用户的未发布的Facebook照片。
Facebook 14号宣布,它在其照片共享系统中发现了一个新的API错误,允许876位开发人员访问他们从未在时间轴上共享的用户私密照片,包括上传到Marketplace或Facebook Stories的图像。
当某人允许应用程序访问Facebook上的照片时,Facebook通常只允许应用程序访问人们在时间轴上共享的照片。在这种情况下,这个Bug可能会允许开发人员访问其他照片,例如在Marketplace上共享的照片或Facebook Stories。
更糟糕的是,这甚至暴露了人们上传到Facebook但是由于某种原因选择不发布或未完成发布的照片。漏洞使用户的私人数据在9月13日至9月25日期间暴露了12天,直到Facebook在9月25日发现并修复了安全错误。
“目前,我们认为这可能已经影响了多达680万用户和876个开发者构建的最多1,500个应用程序。受此漏洞影响的应用范围是Facebook批准访问照片API并且个人已授权访问其照片的应用程序。”
这家社交媒体巨头已经开始通过Facebook时间线上的警报通知受影响的用户照片可能已被曝光,并引导他们访问包含更多信息的帮助中心页面。Facebook还表示,社交媒体网络将很快推出“应用程序开发人员的工具,这将使他们能够确定哪些人使用他们的应用程序可能会受到这个错误的影响”。此外,他们承诺将与应用程序开发人员合作,删除他们不应访问的照片副本。
因为GDPR的推行,爱尔兰数据管理局已经就此对Facebook展开调查,Facebook一旦处理不当,可能会面对高达16亿美元的罚款。