您现在的位置是:首页 >每日动态 > 2021-04-24 20:49:28 来源:

Facebook揭示了将额外照片暴露给第三方应用程序的API错误

导读 Facebook已经发布了一个API错误,可能会暴露出比第三方开发者用户更多的照片。 通常,Facebook的照片API限制第三方访问用户已经共享到其公

Facebook已经发布了一个API错误,可能会暴露出比第三方开发者用户更多的照片。

通常,Facebook的照片API限制第三方访问用户已经共享到其公共源的图像。然而,由于这个漏洞,该公司表示上传到Marketplace的照片,其Craigslist式的买卖服务以及类似Snapchat的Facebook Stories可能已被其他应用程序访问。

Facebook揭示了将额外照片暴露给第三方应用程序的API错误

此外,作为预期新帖子的一部分上传到Facebook的照片可能在不知不觉中暴露给公众。

该公司表示,该漏洞可能会影响多达680万人,他们使用Facebook的登录系统在876名开发人员的大约1,500个应用程序中进行身份验证。此外,Facebook表示该漏洞在2018年9月13日至9月25日的12天期间有效。

“我们的内部团队发现了一张照片API错误,可能会影响使用Facebook登录并授权第三方应用访问其照片的人,”Facebook的工程总监Tomer Bar在一篇博文中写道。

规模

虽然相对于Facebook 20亿用户群而言,这个漏洞的整体规模很小 ,但对于该公司而言,这个新闻正处于一个敏感的时刻,而这一时期仍然受到一系列隐私和安全问题的影响。除了广泛宣传的 剑桥Analytica丑闻 在3月爆发了公众​​的意识之外,Facebook还透露,它无意中为公众设置了1400万用户的隐私设置以进行状态更新,后来又发现另一个数据泄露事件影响了近5000万个账户。

Facebook没有透露何时发现最新的错误,但 欧洲的通用数据保护法规(GDPR)要求公司在发现后的72小时内向相应的欧洲当局报告此类数据泄露事件 - 如果不这样做可能会导致巨额罚款。

该公司补充说,它现在已经修复了该错误,它将通过警报通知可能受影响的人访问帮助中心链接。它还表示,它将与开发人员合作,确定谁受到影响,并删除第三方没有明确许可收集的任何照片。

“我们很抱歉这件事发生了,”Bar补充道。“下周初,我们将推出适用于应用开发者的工具,以便他们确定使用其应用的用户可能会受到此错误的影响。我们将与这些开发人员合作,删除受影响用户的照片。“

*更新: Facebook告诉VentureBeat它在9月25日发现了这个漏洞,并且一旦确定它被认为是可报告的漏洞,它就通知爱尔兰数据保护专员(IDPC) - 这发生在11月22日。该公司没有'详细说明如何花费将近两个月的时间来确定这是一个可报告的漏洞,除了说明它正在调查漏洞。