Разработчики Facebook обнаружили баг ПО, связанный с правами доступа к информации участников групп. Из-за ошибки API администраторы некоторых приложений могли обойти введенные ранее ограничения и получить закрытую информацию пользователей.

Социальная сеть ограничила доступ к этим данным в апреле 2018 года. Запрет был связан со скандалом вокруг компании Cambridge Analytica, которая использовала легитимные средства Facebook для сбора данных о пользователях. По итогам разбирательств Федеральная торговая комиссия США наложила на соцсеть штраф в несколько миллиардов долларов и обязала руководство соцсети пересмотреть политику по работе с персональной информацией.

После этих событий разработчики Facebook изменили механику сразу нескольких API, с помощью которых сторонние участники могли получать сведения о пользователях. Список доработанных пакетов включил и API Groups, обеспечивающий обмен данными между внешними сервисами и группами социальной сети.

Программисты разрешили таким приложениям читать содержание постов, видеть название группы и количество ее пользователей. Дополнительные данные становились доступны, только если участники разрешали это отдельно.

Однако, как выяснили разработчики, некоторым сервисам удавалось получать эту информацию без ведома пользователей. По информации Facebook, неправомерный доступ получили около 100 приложений, из которых как минимум 11 просматривали данные в последние 60 дней.

«По большей части это сервисы для стриминга и менеджмента страниц, с помощью которых администраторы могли эффективно управлять сообществами, а участники групп — делиться видео, — рассказали разработчики. — Несмотря на удобство таких функций для пользователей и сообществ Facebook, мы решили отключить доступ».

Представители социальной сети отдельно отметили, что не нашли признаков злоупотреблений неправомерно полученными данными. Эта деталь отличает нынешнюю утечку от другого инцидента, когда в нарушении правил Facebook уличили одного из контрагентов ее дочернего сервиса Instagram. В августе журналисты выяснили, что сотрудники аналитического агентства HYP3R отслеживали геолокацию пользователей, хотя эту возможность также заблокировали после скандала 2018 года.

Как показывает практика, наибольшую угрозу пользовательским данным в Facebook составляют незащищенные хранилища, которые регулярно обнаруживаются в Интернете. Только в 2019 году исследователи нашли сразу несколько таких баз — в апреле, мае и сентябре. В каждом случае круг жертв исчислялся десятками и сотнями миллионов пользователей. Кроме того, представителей Facebook уличили в многолетнем хранении паролей в незащищенном виде.

Категории: Главное, Уязвимости