Facebook漏洞曝光了680万用户的私人照片

Facebook今天宣布了另一起影响其数百万客户的安全事件。这一次，该公司表示，其中一个API的漏洞暴露了近680万用户的私人照片。

Facebook将这一新漏洞归咎于其后端代码中出现的Photo API错误，该漏洞存在于2018年9月13日至9月25日之间。

该公司表示，在此期间，该漏洞允许Facebook第三方应用程序访问的不仅仅是用户的公开照片。Facebook开发人员Tomer Bar提供了有关Photo API漏洞泄漏的以下说明：

当有人允许某个应用在Facebook上访问他们的照片时，我们通常只允许该应用访问他们在时间轴上分享的照片。在这种情况下，该漏洞可能会让开发人员访问其他照片，例如在Marketplace或Facebook Stories上共享的照片。该错误还影响了人们上传到Facebook但选择不发布的照片​​。例如，如果有人将照片上传到Facebook但没有完成发布 - 也许是因为他们丢失了接待或走进了会议 - 我们存储了该照片的副本，以便当他们回到应用程序时该人拥有它完成他们的职位。

Bar表示，Facebook调查显示，876名开发者构建的1,500个应用程序可能能够访问多达680万用户的非公开照片。

目前还不清楚是否有任何这些应用程序滥用该错误来实际访问和下载用户的私人和非张贴照片。

Facebook表示将开始通知受影响的用户。这些用户包括安装了1,500个应用程序中的任何一个并授予应用程序访问其照片的权限的用户。上面显示的通知将列出用户已安装的应用程序，允许用户根据需要卸载它们。用户还可以访问专用网页，了解他们是否受到影响。

今年早些时候，Facebook宣布一名未知的威胁演员使用三个错误的组合从超过5000万用户下载个人数据，这个数字后来降级为3000万。

Facebook也是第三家宣布其API中的主要错误的主要技术公司。Twitter在9月宣布了一个类似的API问题，谷歌宣布了两个API问题，一个在10月份(50万用户受影响)，另一个在12月份(5250万用户受影响)。