Facebook揭示了將額外照片暴露給第三方應用程序的API錯誤

Facebook已經發布了一個API錯誤，可能會暴露出比第三方開發者用戶更多的照片。

通常，Facebook的照片API限制第三方訪問用戶已經共享到其公共源的圖像。然而，由于這個漏洞，該公司表示上傳到Marketplace的照片，其Craigslist式的買賣服務以及類似Snapchat的Facebook Stories可能已被其他應用程序訪問。

此外，作為預期新帖子的一部分上傳到Facebook的照片可能在不知不覺中暴露給公眾。

該公司表示，該漏洞可能會影響多達680萬人，他們使用Facebook的登錄系統在876名開發人員的大約1,500個應用程序中進行身份驗證。此外，Facebook表示該漏洞在2018年9月13日至9月25日的12天期間有效。

“我們的內部團隊發現了一張照片API錯誤，可能會影響使用Facebook登錄并授權第三方應用訪問其照片的人，”Facebook的工程總監Tomer Bar在一篇博文中寫道。

規模

雖然相對于Facebook 20億用戶群而言，這個漏洞的整體規模很小 ，但對于該公司而言，這個新聞正處于一個敏感的時刻，而這一時期仍然受到一系列隱私和安全問題的影響。除了廣泛宣傳的 劍橋Analytica丑聞 在3月爆發了公眾??的意識之外，Facebook還透露，它無意中為公眾設置了1400萬用戶的隱私設置以進行狀態更新，后來又發現另一個數據泄露事件影響了近5000萬個賬戶。

Facebook沒有透露何時發現最新的錯誤，但 歐洲的通用數據保護法規(GDPR)要求公司在發現后的72小時內向相應的歐洲當局報告此類數據泄露事件 - 如果不這樣做可能會導致巨額罰款。

該公司補充說，它現在已經修復了該錯誤，它將通過警報通知可能受影響的人訪問幫助中心鏈接。它還表示，它將與開發人員合作，確定誰受到影響，并刪除第三方沒有明確許可收集的任何照片。

“我們很抱歉這件事發生了，”Bar補充道。“下周初，我們將推出適用于應用開發者的工具，以便他們確定使用其應用的用戶可能會受到此錯誤的影響。我們將與這些開發人員合作，刪除受影響用戶的照片。“

*更新： Facebook告訴VentureBeat它在9月25日發現了這個漏洞，并且一旦確定它被認為是可報告的漏洞，它就通知愛爾蘭數據保護專員(IDPC) - 這發生在11月22日。該公司沒有'詳細說明如何花費將近兩個月的時間來確定這是一個可報告的漏洞，除了說明它正在調查漏洞。