Facebook API Bug暴露680万用户照片,或面临16亿美元罚款

来源:黑客视界2019.06.20

Facebook网站上的一个编程错误意外地让1,500个第三方应用程序访问了多达680万用户的未发布的Facebook照片。

Facebook 14号宣布,它在其照片共享系统中发现了一个新的API错误,允许876位开发人员访问他们从未在时间轴上共享的用户私密照片,包括上传到Marketplace或Facebook Stories的图像。

当某人允许应用程序访问Facebook上的照片时,Facebook通常只允许应用程序访问人们在时间轴上共享的照片。在这种情况下,这个Bug可能会允许开发人员访问其他照片,例如在Marketplace上共享的照片或Facebook Stories。

更糟糕的是,这甚至暴露了人们上传到Facebook但是由于某种原因选择不发布或未完成发布的照片。漏洞使用户的私人数据在9月13日至9月25日期间暴露了12天,直到Facebook在9月25日发现并修复了安全错误。

“目前,我们认为这可能已经影响了多达680万用户和876个开发者构建的最多1,500个应用程序。受此漏洞影响的应用范围是Facebook批准访问照片API并且个人已授权访问其照片的应用程序。”

 

这家社交媒体巨头已经开始通过Facebook时间线上的警报通知受影响的用户照片可能已被曝光,并引导他们访问包含更多信息的帮助中心页面。Facebook还表示,社交媒体网络将很快推出“应用程序开发人员的工具,这将使他们能够确定哪些人使用他们的应用程序可能会受到这个错误的影响”。此外,他们承诺将与应用程序开发人员合作,删除他们不应访问的照片副本。

因为GDPR的推行,爱尔兰数据管理局已经就此对Facebook展开调查,Facebook一旦处理不当,可能会面对高达16亿美元的罚款。

热门文章

  • 七一将临,过去几周网络黑客攻击暴增30%

    在建党100周年来临之际,创宇盾将为包括党、政、军、事业单位、教育、医疗等重点客户提供免费网络安全保障服务。

  • FBI 向托管 Cyclops Blink 恶意软件的僵尸网络服务器发起了行动

    美国联邦调查局(FBI)透露,该机构于今年 3 月发起了针对 GRU 控制的大型僵尸网络的专项行动。在获得加利福尼亚和宾夕法尼亚两州法院的授权后,FBI 清理了存在于指挥和控制服务器(C2S)上的所谓 Cyclops Blink 恶意软件,从而切断了其与受感染设备的连接。

  • Meta 在新报告中提及黑客组织发布虚假的“乌克兰军队投降”信息

    根据Meta(Facebook的母公司)的一份新的安全报告,一个与白俄罗斯有关的黑客组织试图入侵乌克兰军事人员的Facebook账户,并从黑客账户发布视频,谎称乌克兰军队投降。这场黑客行动之前被安全研究人员称为”Ghostwriter”,是由一个名为UNC1151的组织实施的,该组织在Mandiant进行的研究中与白俄罗斯政府有关。

关注知道创宇云安全

获取安全动态