Facebook 出現嚴重漏洞,約 5 千名未獲授權開發者取得用戶資料

作者 | 發布日期 2020 年 07 月 05 日 0:00 | 分類 Facebook , 社群 , 資訊安全 Telegram share ! follow us in feedly


近期負面新聞不斷的 Facebook,2 日再爆醜聞,承認因系統漏洞,未獲授權下給予約 5 千名開發者可存取用戶個資。Facebook 自 2018 年起就設限,當用戶連續 90 日沒有使用某程式,自動禁止開發者取得該用戶資料,當 90 日期限過去,開發者需要重新向用戶要求取得權限。

這次漏洞就是因上述自動上鎖系統失靈,Facebook 平台合作夥伴副總裁 Konstantinos Papamiltiadis 表示,他們發現部分程式在用戶沒有使用 90 天後,依然在未獲授權下繼續取得用戶資料。Papamiltiadis 舉例有用戶利用健身程式邀請朋友一同鍛鍊,但 Facebook 未察覺該用戶的朋友已有多月未使用程式。

Papamiltiadis 強調發現問題的同一天,就修復漏洞,但沒透露有多少用戶受這次事件影響。上面提到 90 日後自動取消存取授權,本來是源於容許第三方取用用戶數據的劍橋分析醜聞,但現在發現原來這機制有漏洞,未真正保障用戶的資料不被第三方取得。

(本文由 Unwire HK 授權轉載;首圖來源:pixabay