Facebook afslører API-fejl, der eksponerede ekstra billeder til tredjeparts apps

Facebook har afsløret en API-fejl, der muligvis har udsat flere billeder end brugere, der har til hensigt at udvikle tredjeparter.

Normalt begrænser Facebooks foto-API adgang fra tredjeparter til billeder, som brugere allerede har delt med deres offentlige feed. Som følge af fejlen sagde selskabet imidlertid, at fotos uploadet til Marketplace, dets Craigslist-købs-og-salg-service, og dens Snapchat-lignende Facebook Stories kan være blevet åbnet af andre apps.

Desuden kan billeder, der er uploadet til Facebook som en del af et tilsigtet nyt indlæg, der endnu ikke fysisk er blevet offentliggjort til offentligheden, have været utilsigtet udsat.

Virksomheden sagde, at fejlen sandsynligvis ramte op til 6.8 millioner mennesker, der brugte Facebooks login system til at autentificere sig på nogen af ​​de omkring 1,500 apps fra 876 udviklere. Desuden sagde Facebook, at fejlen var aktiv mellem en 12-dagsperiode fra september 13 til September 25, 2018.

"Vores interne team opdagede et foto API-fejl, der kan have ramt folk, der brugte Facebook Login og givet tilladelse til tredjeparts apps for at få adgang til deres fotos," skrev Facebooks direktør for teknik, Tomer Bar, i en blogindlæg.

Scale

Mens den samlede skala af fejlen er lille i forhold til Facebook 2 milliard-stærk bruger base, nyhederne kommer på en følsom tid for virksomheden, som stadig spiller sig fra en masse privatliv og sikkerhedsspørgsmål. Ud over den meget publicerede Cambridge Analytica skandale der eksploderede i offentlighedens bevidsthed i marts, viste Facebook også det udilsigtet sætte 14 millioner brugeres privatlivsindstillinger for statusopdateringer til offentligheden, og det senere afsløret et andet brud på data påvirker næsten 50 millioner konti.

Facebook sagde ikke, da det opdagede den seneste fejl, men Europas generelle databeskyttelsesforordning (GDPR) kræver, at virksomheder indberetter sådanne overtrædelser af oplysninger til de relevante europæiske myndigheder inden for 72 timer med opdagelse - manglende opfyldelse kan resultere i massive bøder.*

Forordningerne tilstand:

I tilfælde af overtrædelse af personoplysninger skal kontrollanten uden unødig forsinkelse og, hvor det er muligt, senest 72 timer efter at have fået kendskab til det, underrette personoplysningerne om den tilsynsmyndighed, der er kompetent i overensstemmelse med artikel 55, medmindre brud på personoplysninger er usandsynligt, at det medfører en risiko for fysiske personers rettigheder og friheder. Hvis anmeldelsen til tilsynsmyndigheden ikke er afgivet inden for 72 timer, skal den ledsages af begrundelsen for forsinkelsen.

Virksomheden tilføjede, at den nu har rettet fejlen, og at den vil underrette dem, der potentielt kunne blive påvirket via en advarsel for at besøge et helpcenter-link. Det sagde også, at det ville fungere med udviklere for at fastslå, hvem der var påvirket og at slette billeder, som tredjeparterne ikke havde udtrykkeligt tilladelse til at indsamle.

"Vi beklager, det skete," tilføjede Bar. "I begyndelsen af ​​næste uge vil vi udrulningsværktøjer til app-udviklere, der giver dem mulighed for at bestemme, hvilke personer der bruger deres app, kan blive påvirket af denne fejl. Vi arbejder sammen med disse udviklere for at slette fotos fra berørte brugere. "

* Opdatering: Facebook fortalte VentureBeat, at den fandt fejlen på September 25, og at den meddelte den irske databeskyttelseskommissær (IDPC), så snart den fastslog, at det blev betragtet som et rapporterbart brud - det skete i november 22. Selskabet uddybede ikke, hvordan det tog næsten to måneder at beslutte, at det var en rapporterbar overtrædelse, ud over at det var at undersøge fejlen.

Oprindelig artikel

Giv en kommentar

Dette websted bruger Akismet til at reducere spam. Lær, hvordan dine kommentardata behandles.