Facebook漏洞曝光了680萬用戶的私人照片

Facebook今天宣布了另一起影響其數百萬客戶的安全事件。這一次，該公司表示，其中一個API的漏洞暴露了近680萬用戶的私人照片。

Facebook將這一新漏洞歸咎于其后端代碼中出現的Photo API錯誤，該漏洞存在于2018年9月13日至9月25日之間。

該公司表示，在此期間，該漏洞允許Facebook第三方應用程序訪問的不僅僅是用戶的公開照片。Facebook開發人員Tomer Bar提供了有關Photo API漏洞泄漏的以下說明：

當有人允許某個應用在Facebook上訪問他們的照片時，我們通常只允許該應用訪問他們在時間軸上分享的照片。在這種情況下，該漏洞可能會讓開發人員訪問其他照片，例如在Marketplace或Facebook Stories上共享的照片。該錯誤還影響了人們上傳到Facebook但選擇不發布的照片??。例如，如果有人將照片上傳到Facebook但沒有完成發布 - 也許是因為他們丟失了接待或走進了會議 - 我們存儲了該照片的副本，以便當他們回到應用程序時該人擁有它完成他們的職位。

Bar表示，Facebook調查顯示，876名開發者構建的1,500個應用程序可能能夠訪問多達680萬用戶的非公開照片。

目前還不清楚是否有任何這些應用程序濫用該錯誤來實際訪問和下載用戶的私人和非張貼照片。

Facebook表示將開始通知受影響的用戶。這些用戶包括安裝了1,500個應用程序中的任何一個并授予應用程序訪問其照片的權限的用戶。上面顯示的通知將列出用戶已安裝的應用程序，允許用戶根據需要卸載它們。用戶還可以訪問專用網頁，了解他們是否受到影響。

今年早些時候，Facebook宣布一名未知的威脅演員使用三個錯誤的組合從超過5000萬用戶下載個人數據，這個數字后來降級為3000萬。

Facebook也是第三家宣布其API中的主要錯誤的主要技術公司。Twitter在9月宣布了一個類似的API問題，谷歌宣布了兩個API問題，一個在10月份(50萬用戶受影響)，另一個在12月份(5250萬用戶受影響)。