Представители Facebook сообщили, что в результате ошибки в одном из API платформы фотографии почти 7 млн пользователей социальной сети оказались доступны разработчикам сторонних приложений. Речь идет о снимках, опубликованных в Историях, сервисе Marketplace, а также о черновиках изображений, хранящихся в базе данных Facebook в течение трех дней. Баг был выявлен службой внутреннего тестирования компании и уже исправлен.

Как пояснил технический директор социальной сети Томер Бар (Tomer Bar), пользователи могут предоставлять приложениям других разработчиков доступ к фотографиям из своей Хроники, однако в результате недоработки в программном интерфейсе число доступных источников изображений увеличилось.

В частности, скомпрометированными могли оказаться фотографии из Историй, Marketplace и черновики — снимки, которые владелец аккаунта загрузил в Facebook, но по каким-либо причинам не стал публиковать. Брешь существовала с 13 по 25 сентября 2018 года в более чем 1,5 тыс. сторонних программ, созданных 876 разработчиками.

Facebook начала рассылку уведомлений о возможной утечке всем затронутым пользователям. В компании подчеркивают, что проблема касается только тех клиентов социальной сети, которые предоставляли доступ к своим фотографиям другим приложениям. Как сообщил Томер Бар, в ближайшее время Facebook выпустит специальную утилиту для разработчиков, которая позволит выявить пользователей сторонних программ, чьи данные могли быть скомпрометированы.

Британское издание The Register напомнило, что после скандала с передачей данных пользователей социальной сети компании Cambridge Analytica основатель Facebook Марк Цукерберг заявлял:

«Мы несем ответственность за защиту ваших данных, и если мы не способны их сохранить, то мы не достойны того, чтобы работать для вас».

Журналисты поинтересовались, как воспринимать это высказывание в свете новой утечки, однако ответа не получили. Пресс-служба Facebook сообщила лишь, что компания плотно работает с Ирландской комиссией по защите данных, которая занимается расследованием возможных нарушений GDPR, допущенных социальной сетью, и готова предоставить чиновникам всю необходимую информацию.

Предыдущая утечка персональных данных со стороны сервиса была зафиксирована в конце сентября этого года. Тогда выяснилось, что токены авторизации 50 млн пользователей Facebook оказались скомпрометированы в результате некорректной работы функции «Посмотреть как…». Об уязвимости стало известно киберпреступникам, которые использовали ее при атаке. Позднее представители сервиса сообщили, что злоумышленники получили доступ лишь к 30 млн аккаунтов, из которых могли быть похищены имена, контактные данные и другие сведения.

Категории: Главное, Кибероборона, Уязвимости