Facebook ha informato i propri iscritti di un potenziale bug che potrebbe aver esposto le foto private di quasi 7 milioni di utenti ad app di terze parti. Il difetto che ha permesso l'intrusione in Photo API è rimasto aperto per 12 giorni a settembre, ma la notizia è stata data il 14 dicembre. Il bug consentiva agli sviluppatori esterni di accedere inavvertitamente a immagini condivise su Facebook Stories o Marketplace e, cosa più preoccupante, a quelle caricate ma mai pubblicate. Normalmente, le applicazioni possono accedere soltanto alle foto che le persone condividono sulla loro Timeline.
"Il nostro team interno ha scoperto un bug dell'API fotografico che potrebbe aver colpito le persone che hanno utilizzato Facebook Login e concesso l'autorizzazione ad app di terze parti per accedere alle loro foto. Abbiamo risolto il problema ma, a causa di questo bug, alcune app di terze parti potrebbero aver avuto accesso a un più ampio insieme di foto per 12 giorni tra il 13 settembre e il 25 settembre 2018. Quando qualcuno concede l'autorizzazione per l'accesso a un'app le loro foto su Facebook, di solito concediamo all'app solo l'accesso alle foto che le persone condividono sulla loro cronologia", scrive Tomer Bar, Engineering Director del social network.
"In questo caso, il bug potenzialmente ha dato agli sviluppatori l'accesso ad altre foto, come quelle condivise sul Marketplace o su Facebook. Il bug ha anche influenzato le foto che le persone hanno caricato su Facebook, ma hanno scelto di non pubblicare. Ad esempio, se qualcuno carica una foto su Facebook ma non finisce di postarla - forse perché ha perso la ricezione o è entrato in una riunione - conserviamo una copia di quella foto per tre giorni in modo che la persona ce l'abbia quando torna all'app per completare il loro post. Attualmente, riteniamo che questo potrebbe aver colpito fino a 6,8 milioni di utenti e fino a 1.500 app create da 876 sviluppatori", spiega Bar.
"Le uniche app interessate da questo bug erano quelle approvate da Facebook per accedere alle Photo API e che le persone avevano autorizzato per accedere alle loro foto. Ci dispiace, è successo". L'azienda ha distribuito agli sviluppatori di app gli strumenti che permettono di determinare quali persone potrebbero essere influenzati da questo bug. Il social network eliminerà le foto degli utenti interessati. Facebook ha inoltre informato gli utenti potenzialmente interessati da questo problema tramite un avviso. La notifica li indirizzerà a un link del Centro assistenza dove potranno verificare se hanno usato eventuali applicazioni colpite dal bug.
Questa è almeno la terza volta che il social network rivela inavvertitamente le informazioni personali dei suoi utenti. A settembre, Facebook ha rivelato che un hack ha permesso agli aggressori di raccogliere milioni di numeri di telefono e indirizzi e-mail. In seguito la società ha affermato che gli hacker hanno utilizzato 400.000 account per ottenere i token di accesso di 30 milioni di utenti di Facebook. Stranamente, la società ha scoperto il nuovo bug il 25 settembre, lo stesso giorno della maxi infrazione. Il ritardo potrebbe esporre l'azienda al rischio di una maxi multa per non aver rivelato il problema entro 72 ore, secondo le nuove regole sulla protezione dei dati.
Nessun commento:
Posta un commento